| ISO 42001

Por Anderson Chipak · chipak.com.br

Gap Analysis ISO 42001 — 20 Perguntas

Avalie a conformidade da sua empresa com as cláusulas 4–10 da ISO/IEC 42001 (Sistema de Gestão de IA).

iso42001.com.br/checklist/ — versão interativa com resultado por cláusula

20 perguntas 7 cláusulas (4–10) Pontuação 0–60

Empresa

Responsável

Data

Escala geral: A = Não existe · B = Existe informalmente · C = Existe formalmente, mas incompleto · D = Formalmente documentado, revisado periodicamente

Cláusula 4 — Contexto · 3 perguntas

1.Sua organização tem um mapeamento formal de todos os sistemas de IA em uso ou em desenvolvimento?

A — Não existe mapeamento B — Existe informalmente (planilha, email) C — Existe formalmente, mas desatualizado D — Existe formalmente e é revisado periodicamente

2.As partes interessadas nos sistemas de IA (reguladores, clientes, colaboradores) estão identificadas e seus requisitos documentados?

A — Não identificadas B — Identificadas informalmente C — Identificadas, sem análise de requisitos D — Identificadas com análise documentada de requisitos

3.O escopo do sistema de gestão de IA está definido e documentado?

A — Não existe escopo definido B — Escopo informal/verbal C — Escopo definido, não documentado formalmente D — Escopo documentado e aprovado pela direção

Cláusula 5 — Liderança · 2 perguntas

4.A Alta Direção aprovou formalmente uma Política de IA da organização?

A — Não existe política de IA B — Existe uma minuta em elaboração C — Existe aprovada, mas não comunicada D — Existe aprovada e comunicada a todos os relevantes

5.Os papéis e responsabilidades de governança de IA estão formalmente atribuídos (ex: responsável pela IA, comitê, etc.)?

A — Sem papéis definidos B — Responsabilidade implícita de TI/Dev C — Papéis definidos informalmente D — Papéis formalizados, RACI documentado

Cláusula 6 — Planejamento · 3 perguntas

6.Sua organização realiza avaliação de risco específica para sistemas de IA (incluindo viés, explicabilidade, dependência)?

A — Sem avaliação de risco de IA B — IA incluída na avaliação geral de TI C — Avaliação de risco de IA existe, não documentada D — Avaliação de risco de IA documentada e periódica

7.Existe um plano de tratamento para os riscos de IA identificados?

A — Sem plano de tratamento B — Plano informal por sistema C — Plano existe, não rastreado D — Plano documentado, responsáveis e prazos definidos

8.Os objetivos de governança de IA são mensuráveis e têm indicadores de desempenho?

A — Sem objetivos definidos B — Objetivos genéricos sem métricas C — Objetivos com métricas, sem acompanhamento D — Objetivos mensuráveis acompanhados periodicamente

Cláusula 7 — Apoio · 2 perguntas

9.Os colaboradores que usam ou desenvolvem IA recebem treinamento documentado sobre uso responsável?

A — Sem treinamento B — Treinamento ad-hoc sem documentação C — Treinamento existe, sem registros D — Treinamento documentado com registros de participação

10.Clientes e partes externas afetadas pelos sistemas de IA recebem informações sobre como a IA é usada nas decisões que as afetam?

A — Sem comunicação sobre IA B — Informações genéricas nos termos de uso C — Informações específicas por sistema D — Comunicação proativa e transparente por sistema

Cláusula 8 — Operação · 5 perguntas

11.Cada sistema de IA em produção tem documentação formal de desenvolvimento (dados usados, arquitetura, validação)?

A — Sem documentação B — Documentação parcial em alguns sistemas C — Documentação existe para a maioria D — Documentação completa para todos os sistemas no escopo

12.Existe processo formal de teste e validação antes de implantar um novo sistema de IA ou nova versão?

A — Deploy direto sem processo B — Testes técnicos sem aprovação formal C — Processo existe, não documentado D — Processo documentado com critérios de aceite e aprovação

13.Os sistemas de IA em produção são monitorados quanto à performance, drift e impactos não esperados?

A — Sem monitoramento específico de IA B — Monitoramento técnico (CPU/mem), sem performance do modelo C — Monitoramento de performance, sem alertas D — Monitoramento automatizado com alertas e revisão periódica

14.Fornecedores e modelos de IA de terceiros (APIs, plataformas SaaS) têm requisitos de governança formalizados em contrato?

A — Sem requisitos para fornecedores de IA B — Requisitos gerais de segurança apenas C — Requisitos específicos de IA em alguns contratos D — Requisitos específicos de IA em todos os contratos relevantes

15.Existe procedimento documentado para responder a incidentes relacionados a sistemas de IA (decisão errada, viés detectado, falha)?

A — Sem procedimento específico para IA B — Incluído no procedimento geral de incidentes de TI C — Procedimento específico de IA existe, não testado D — Procedimento específico testado e revisado periodicamente

Cláusula 9 — Avaliação · 2 perguntas

16.Sua organização realiza auditorias internas do sistema de gestão de IA?

A — Sem auditorias internas de IA B — IA incluída em auditoria geral de TI informalmente C — Auditoria de IA realizada, sem programa formal D — Programa formal de auditoria interna de IA com registros

17.A Alta Direção conduz revisão formal do sistema de gestão de IA com pauta e ata documentadas?

A — Sem revisão pela direção B — IA discutida em reunião geral sem formalidade C — Revisão existe, sem documentação D — Revisão documentada com entradas, saídas e decisões registradas

Cláusula 10 — Melhoria · 3 perguntas

18.Não conformidades relacionadas a sistemas de IA são registradas e tratadas formalmente?

A — Sem registro de não conformidades de IA B — Registradas informalmente C — Registradas, sem plano de ação obrigatório D — Registradas com plano de ação, responsável e prazo

19.Existem evidências de melhoria contínua no sistema de gestão de IA nos últimos 12 meses?

A — Sem evidências de melhoria B — Melhorias pontuais sem registro C — Melhorias registradas, sem ciclo formal D — Ciclo formal de melhoria contínua com evidências documentadas

20.O nível geral de maturidade em governança de IA comparado a 12 meses atrás:

A — Não tínhamos nada antes e ainda não temos B — Iniciamos, mas sem progresso mensurável C — Progresso visível em alguns domínios D — Progresso documentado em todos os domínios do escopo

Apuração de score

Cláusula	Q#	Máx	Obtido (A=0,B=1,C=2,D=3)	%
Cl.4 — Contexto	1–3	9	_____	_____
Cl.5 — Liderança	4–5	6	_____	_____
Cl.6 — Planejamento	6–8	9	_____	_____
Cl.7 — Apoio	9–10	6	_____	_____
Cl.8 — Operação	11–15	15	_____	_____
Cl.9 — Avaliação	16–17	6	_____	_____
Cl.10 — Melhoria	18–20	9	_____	_____
TOTAL	1–20	60	_____	_____

Interpretação: <33% = Inicial · 33–66% = Em desenvolvimento · 67–84% = Gerenciado · ≥85% = Certificação ISO 42001 viável