ISO 42001
ISO 42001 Cláusulas Cláusula 4
Cláusula 4 · Plan · Contexto da Organização

Cláusula 4 — Contexto da Organização

Define o ambiente onde o SGAI opera: contexto interno e externo, partes interessadas, escopo e a estrutura básica do sistema de gestão de IA.

Cláusula 4 ISO 42001: contexto da organização e escopo do SGAI

O que exige a Cláusula 4

A Cláusula 4 é o ponto de partida do SGAI. Antes de qualquer controle técnico ou política, a organização precisa entender onde está inserida e o que isso significa para seus sistemas de IA. Quatro subcláusulas estruturam esse entendimento.

4.1

Contexto interno e externo — fatores que influenciam a capacidade do SGAI de atingir seus resultados.

4.2

Necessidades e expectativas das partes interessadas — quem é afetado pelo SGAI e o que esperam dele.

4.3

Escopo do SGAI — quais sistemas de IA, processos e unidades estão incluídos no sistema de gestão.

4.4

Sistema de Gestão de IA — comprometimento formal de estabelecer, implementar, manter e melhorar continuamente o SGAI.

4.1 Contexto interno e externo

A organização deve determinar fatores externos e internos que influenciam sua capacidade de atingir os resultados pretendidos do SGAI.

Fatores externos a considerar

  • Ambiente regulatório — LGPD, PL 2338, regulações setoriais (BACEN, ANS, CFM)
  • Expectativas de clientes e parceiros sobre uso responsável de IA
  • Tendências tecnológicas — novos modelos, mudanças em APIs de fornecedores de IA
  • Riscos reputacionais e de imagem associados ao uso de IA
  • Frameworks internacionais relevantes — EU AI Act, NIST AI RMF

Fatores internos a considerar

  • Cultura organizacional em relação à IA e à tomada de risco
  • Recursos disponíveis — humanos, financeiros, tecnológicos
  • Sistemas de IA já em uso ou em desenvolvimento
  • Processos de negócio impactados por decisões automatizadas
  • Maturidade atual de governança de dados e de segurança da informação

O que o auditor verifica: Documento formal de análise de contexto, atualizado ao menos anualmente, com evidência de revisão pela direção.

4.2 Necessidades e expectativas das partes interessadas

A organização deve identificar: (a) as partes interessadas relevantes para o SGAI; (b) as necessidades e expectativas dessas partes; (c) quais dessas necessidades se tornam requisitos do SGAI.

Partes interessadas típicas

  • Clientes diretos — que usam ou são afetados por sistemas de IA
  • Reguladoreslgpd.com.br/artigos/como-anpd-calcula-multa/" style="color:#1a365d;text-decoration:underline;font-weight:500;">ANPD, BACEN, ANS, CVM (conforme o setor)
  • Funcionários — que operam ou são supervisionados por sistemas de IA
  • Acionistas e conselho — que respondem por riscos de IA
  • Fornecedores de IA — cujos modelos são utilizados na organização
  • Grupos afetados indiretamente — comunidades impactadas por decisões automatizadas

A distinção entre partes interessadas diretas e indiretas é deliberada na norma. Um sistema de IA que pontua crédito, por exemplo, afeta tanto o cliente que solicita o crédito quanto grupos demográficos que podem ser sistematicamente favorecidos ou prejudicados. Ambos precisam estar no registro.

Documentação exigida: Registro de partes interessadas com necessidades, expectativas e como o SGAI as atende. O registro deve ser mantido vivo — não é documento de prateleira.

4.3 Escopo do SGAI

A organização deve determinar os limites e a aplicabilidade do SGAI — quais sistemas de IA, processos e unidades organizacionais estão incluídos.

Decisões de escopo críticas

  • Incluir todos os sistemas de IA em uso (próprios e de terceiros)?
  • Limitar a sistemas que tomam decisões com impacto significativo sobre pessoas?
  • Incluir sistemas em desenvolvimento ou apenas os em produção?
  • Qual unidade de negócio ou produto está no escopo inicial?

Armadilha comum: Escopo muito estreito que exclui sistemas de IA de alto risco usados via API (ex.: modelos de linguagem em atendimento ao cliente). O auditor questionará a lógica de exclusão. Qualquer sistema excluído precisa de justificativa documentada — "não desenvolvemos IA internamente" não é suficiente se a organização usa APIs de terceiros em processos que afetam clientes.

Documentação exigida: Declaração de escopo do SGAI, formalmente aprovada pela Alta Direção, disponível para as partes interessadas. Deve incluir lista dos sistemas de IA no escopo.

4.4 Sistema de Gestão de IA

A organização deve estabelecer, implementar, manter e melhorar continuamente o SGAI de acordo com os requisitos da norma. Esta subcláusula é a "cláusula guarda-chuva" — confirma o compromisso de seguir todas as demais.

O que o auditor busca

  • Evidência de que o SGAI foi formalmente estabelecido (não apenas declarado)
  • Responsável designado com mandato para manter o sistema de gestão
  • Ciclo de revisão definido (frequência de atualização da documentação)

A diferença entre "estabelecido" e "declarado" é o que separa organizações prontas para certificação das que ainda estão no papel. Estabelecer exige inventário documentado de sistemas de IA, responsáveis definidos, política aprovada e pelo menos um ciclo completo de revisão.

O que o auditor vai verificar (Cláusula 4)

Documento de análise de contexto existe e está datado
Lista de partes interessadas com expectativas mapeadas
Declaração de escopo formalmente aprovada pela direção
Escopo cobre todos os sistemas de IA relevantes (sem exclusões não justificadas)
Responsável pelo SGAI identificado com descrição de cargo ou papel

Perguntas frequentes do auditor

"Por que esses sistemas de IA foram excluídos do escopo?"

O auditor questiona qualquer sistema de IA com impacto em pessoas que tenha sido deixado fora. Exclusões precisam de justificativa documentada — por exemplo, "sistema de recomendação de playlist não toma decisões com consequências materiais para o usuário" é uma justificativa aceitável; "não sabíamos que precisávamos incluir" não é.

"Com que frequência vocês revisam o contexto?"

Análise de contexto desatualizada (mais de 12 meses) é não conformidade. O ambiente regulatório de IA muda rapidamente — a entrada em vigor do PL 2338 ou uma circular BACEN sobre modelos de crédito pode alterar o contexto da noite para o dia.

"Como vocês identificaram os grupos afetados indiretamente?"

A norma exige considerar não apenas usuários diretos, mas quaisquer indivíduos afetados por decisões geradas por IA. Sistemas de concessão de crédito, triagem de currículos ou precificação dinâmica têm grupos afetados que nunca interagem com o sistema — mas precisam estar no registro de partes interessadas.

Erros mais comuns

  • Escopo declaratório sem substância — afirmar que o SGAI "cobre toda a organização" sem inventário dos sistemas de IA que o compõem
  • Partes interessadas internas ignoradas — focar apenas em reguladores e clientes, ignorando funcionários afetados por sistemas de IA (triagem de candidatos, monitoramento de produtividade, etc.)
  • Análise de contexto genérica — copiar análise de outra norma (ISO 27001) sem adaptação às especificidades de IA
  • Escopo que exclui APIs de terceiros — usar ChatGPT, Claude ou outro LLM via API e não incluir no escopo sob o argumento de que "não desenvolvemos o modelo"