ISO 42001
ISO 42001 Cláusulas Cláusula 10
Cláusula 10 · Act · Melhoria

Cláusula 10 — Melhoria

Fecha o ciclo PDCA: trata não conformidades com análise de causa raiz documentada, ações corretivas rastreáveis e processo de melhoria contínua que evolui o SGAI ao longo do tempo.

Cláusula 10 ISO 42001: melhoria contínua e gestão de não conformidades

O que exige a Cláusula 10

A Cláusula 10 é mais curta que as anteriores, mas não menos importante. É onde a norma exige que a organização aprenda com o que deu errado e melhore continuamente — não apenas corrija problemas pontuais, mas evolua o próprio sistema de gestão.

10.1 Não conformidade e ação corretiva

Quando uma não conformidade ocorre, a organização deve:

Reação imediata:

  • Reagir à não conformidade e, quando aplicável, tomar ação para controlar e corrigi-la
  • Tratar as consequências — inclusive para pessoas afetadas por decisões incorretas de IA

Análise e ação corretiva:

  • Analisar a não conformidade para determinar se não conformidades similares existem ou poderiam ocorrer
  • Determinar a causa raiz da não conformidade (não apenas o sintoma)
  • Determinar se ações corretivas são necessárias
  • Implementar quaisquer ações necessárias
  • Revisar a eficácia das ações corretivas tomadas
  • Atualizar riscos e oportunidades se necessário
  • Fazer mudanças no SGAI se necessário

Tipos de não conformidade em SGAI:

  • Não conformidade de processo — uma etapa do ciclo de vida de IA não foi seguida (ex.: sistema implantado sem avaliação de impacto)
  • Não conformidade de documentação — documentos obrigatórios ausentes, desatualizados ou não aprovados
  • Não conformidade de controle — um controle da Cláusula 8 não está sendo aplicado (ex.: drift não monitorado)
  • Não conformidade de desempenho — um sistema de IA operando fora dos parâmetros definidos (ex.: diferença de desempenho entre grupos acima do limite aceitável)
  • Incidente de IA — decisão incorreta com impacto real sobre pessoa ou grupo

Análise de causa raiz em IA — ferramentas úteis:

  • 5 Porquês — questionar recursivamente "por que isso aconteceu?"
  • Diagrama de Ishikawa — categorizar causas (dados, processo, pessoas, sistema)
  • Análise de falha de modelo — inspecionar o modelo e os dados para entender a origem do erro

Documentação exigida: Registro de cada não conformidade com: descrição; natureza da não conformidade; causa raiz determinada; ação corretiva definida; responsável; prazo; status de conclusão; verificação de eficácia.

10.2 Melhoria contínua

A organização deve melhorar continuamente a adequação, suficiência e eficácia do SGAI.

Melhoria contínua vai além de corrigir não conformidades. Inclui:

  • Melhorias proativas — identificar oportunidades antes que virem problemas
  • Atualização de objetivos — revisar e elevar as metas de desempenho do SGAI
  • Incorporação de lições aprendidas — de incidentes, auditorias e revisões da direção
  • Acompanhamento de evolução do framework — atualizar práticas conforme normas e regulamentos evoluem
  • Benchmarking — comparar práticas com referências do setor

Melhoria contínua em contexto de IA — o que é diferente:

A IA evolui muito rapidamente. Um SGAI eficaz em 2024 pode estar desatualizado em 2026 se não incorporar: novos tipos de sistemas de IA (LLMs, agentes autônomos); novas regulações (EU AI Act, PL 2338); novas técnicas de avaliação de viés e equidade; novas ameaças (novos vetores de ataque adversarial).

Ciclo de melhoria contínua recomendado:

  • Revisão do SGAI a cada 12 meses (mínimo)
  • Atualização do inventário de sistemas de IA a cada mudança significativa
  • Reavaliação de riscos após incidentes relevantes ou mudanças regulatórias
  • Atualização de competências conforme novas técnicas surgem

O que o auditor vai verificar (Cláusula 10)

Registro de não conformidades existe e está sendo mantido ativamente
Cada não conformidade tem causa raiz documentada (não apenas descrição do sintoma)
Ações corretivas têm responsável, prazo e status de acompanhamento
Verificação de eficácia das ações corretivas concluídas
Evidência de melhoria contínua além da correção de problemas pontuais
Lições aprendidas de incidentes incorporadas ao SGAI

Perguntas frequentes do auditor

"Mostre-me o registro de não conformidades do último ciclo. Qual foi a mais grave?"

O auditor quer ver um registro real, com não conformidades reais. Um registro vazio ou com apenas itens menores é suspeito.

"Para esta não conformidade, qual foi a causa raiz identificada? Como vocês chegaram a essa conclusão?"

A causa raiz precisa ser investigada, não assumida. O auditor vai perguntar sobre o processo de análise.

"Vocês incorporaram alguma lição do incidente X ao processo? O que mudou?"

Incidentes devem gerar aprendizado sistemático, não apenas correção pontual.

"Como o SGAI evoluiu desde a última auditoria?"

Melhoria contínua deve ser demonstrável — comparar o estado atual com o anterior e mostrar o que melhorou.

Erros mais comuns

  • Tratamento de sintoma, não de causa — corrigir o erro do sistema de IA sem investigar por que o erro ocorreu (dados de treinamento, processo de validação inadequado, mudança no contexto de uso)
  • Registro de não conformidades como "arquivo morto" — criar o registro para a auditoria mas não usá-lo no dia a dia para acompanhar ações
  • Melhoria contínua declaratória — afirmar que a organização "está sempre melhorando" sem evidência de melhorias específicas e mensuráveis no SGAI
  • Não tratar incidentes como não conformidades — uma decisão de IA que causou dano a uma pessoa é uma não conformidade que precisa ser registrada, investigada e tratada

Encerrando o ciclo PDCA

A Cláusula 10 conecta o final do ciclo ao início. As lições aprendidas das não conformidades e as melhorias implementadas alimentam a próxima revisão da Cláusula 4 (contexto atualizado), os objetivos da Cláusula 6 (mais ambiciosos) e os controles da Cláusula 8 (mais eficazes). O SGAI não é um projeto com início, meio e fim — é um ciclo contínuo que evolui com a organização e com o estado da arte em governança de IA.