ISO 42001
ISO 42001 Cláusulas Cláusula 5
Cláusula 5 · Plan · Liderança

Cláusula 5 — Liderança

Exige comprometimento ativo da Alta Direção: aprovação da política de IA, alocação de recursos, definição de papéis com mandato formal e comunicação de expectativas para toda a organização.

Cláusula 5 ISO 42001: liderança, AI Owner e política de IA

O que exige a Cláusula 5

A Cláusula 5 é onde a norma testa se a governança de IA é real ou cosmética. Sem comprometimento demonstrável da Alta Direção — não apenas declarado — o SGAI não passa na auditoria. Três subcláusulas estruturam os requisitos de liderança.

5.1

Liderança e comprometimento — a Alta Direção deve demonstrar (não apenas declarar) engajamento com o SGAI.

5.2

Política de IA — documento formal aprovado pela direção, comunicado internamente e disponível para partes externas.

5.3

Papéis, responsabilidades e autoridades — funções com mandato formal, não apenas títulos.

5.1 Liderança e comprometimento

A Alta Direção deve demonstrar liderança e comprometimento com o SGAI. A palavra-chave é demonstrar — o auditor buscará evidências concretas, não declarações de intenção.

Como demonstrar comprometimento

  • Aprovar formalmente a política de IA (não apenas "endossar")
  • Garantir que os objetivos do SGAI estejam alinhados com a estratégia organizacional
  • Assegurar recursos — financeiros, humanos e tecnológicos — para o SGAI
  • Comunicar ativamente a importância da gestão responsável de IA
  • Apoiar outros papéis de liderança no exercício de suas responsabilidades de IA
  • Promover a melhoria contínua do SGAI

O que o auditor vai perguntar à Alta Direção

  • "Como o senhor(a) acompanha o desempenho do SGAI?"
  • "Qual recurso foi alocado especificamente para governança de IA no último ciclo orçamentário?"
  • "Quando foi a última revisão da direção do SGAI?"

Sinal de alerta: Alta Direção que desconhece o SGAI ou delega completamente a um nível técnico sem supervisão — não conformidade imediata. O auditor entrevista a direção diretamente; não basta que o responsável técnico "saiba tudo".

A diferença prática entre comprometimento declarado e comprometimento demonstrado é a trilha de evidências. Reuniões de revisão com ata, aprovação orçamentária registrada, comunicados internos assinados pela direção — esses são os documentos que o auditor pedirá. Ausência de evidências é ausência de comprometimento, na perspectiva da norma.

5.2 Política de IA

A Alta Direção deve estabelecer uma política de IA que: seja adequada ao propósito da organização; inclua compromisso com o uso responsável e ético de IA; inclua compromisso com a melhoria contínua; forneça estrutura para estabelecer e revisar os objetivos de IA; esteja disponível como informação documentada; seja comunicada dentro da organização; e esteja disponível para partes interessadas externas quando aplicável.

O que uma política de IA deve cobrir (mínimo)

  • Declaração do compromisso organizacional com o uso responsável de IA
  • Princípios que governam o desenvolvimento e uso de IA (transparência, equidade, privacidade, segurança)
  • Alinhamento com frameworks relevantes — LGPD, PL 2338, ISO 42001
  • Referência aos objetivos e ao escopo do SGAI
  • Compromisso com revisão periódica da política

O que NÃO é política de IA

  • Documento genérico de "uso aceitável de tecnologia" sem menção específica a IA
  • Política de ética de dados adaptada para mencionar "algoritmos"
  • Declaração de missão da empresa com parágrafo sobre IA adicionado

Uma política de IA genuína precisa ser específica o suficiente para guiar decisões reais. Se a política não ajuda o time de desenvolvimento a decidir se um determinado uso de IA está alinhado com os valores organizacionais, ela não cumpre seu papel. O auditor pedirá exemplos de como a política foi consultada em decisões concretas.

Documentação exigida: Política de IA aprovada com assinatura da Alta Direção, versão controlada, data de aprovação e data de próxima revisão. Evidência de comunicação interna (intranet, email corporativo, treinamento).

5.3 Papéis, responsabilidades e autoridades

A Alta Direção deve garantir que as responsabilidades e autoridades para papéis relevantes sejam atribuídas e comunicadas dentro da organização.

Papéis mínimos que a norma pressupõe

  • Responsável pelo SGAI (pode ser CISO, CIO ou papel dedicado) — garante que o SGAI está em conformidade e reporta desempenho à Alta Direção
  • Proprietários de sistemas de IA — responsáveis por cada sistema no escopo, incluindo monitoramento e gestão de incidentes
  • Responsável pela avaliação de risco de IA — conduz as avaliações da Cláusula 6 e mantém o registro atualizado
  • Responsável por fornecedores de IA — gerencia contratos e riscos de terceiros que fornecem modelos ou serviços de IA

A norma não exige cargos específicos — exige que as funções existam com mandato formal. Um CTO pode acumular várias responsabilidades desde que documentado. O que não é aceitável é a ausência de função: ninguém responsável por monitorar um sistema de IA em produção, por exemplo, é não conformidade direta.

Atenção — responsabilidade sem autoridade: Atribuir responsabilidade sem autoridade é armadilha comum. O responsável pelo SGAI precisa ter poder real de agir — interromper um sistema de IA, exigir evidências de fornecedores, recusar aprovação de deploy sem avaliação de risco. Papéis consultivos sem autoridade executiva não satisfazem a norma.

Documentação exigida: Matriz de papéis e responsabilidades (RACI ou equivalente) aprovada pela Alta Direção e comunicada formalmente. Deve estar atualizada — quando alguém sai da organização, o papel precisa ser reatribuído.

O que o auditor vai verificar (Cláusula 5)

Política de IA existe, está assinada pela Alta Direção e datada
Política cobre princípios de uso responsável (não é documento genérico)
Política está comunicada internamente (evidência: intranet, treinamento ou email corporativo)
Papéis do SGAI estão definidos com nome ou cargo e descrição de responsabilidades
Alta Direção consegue responder perguntas sobre o SGAI (não delega completamente)
Recursos foram alocados formalmente (orçamento ou headcount registrado)

Perguntas frequentes do auditor

"Posso ver a ata da última reunião de revisão do SGAI pela direção?"

O auditor busca evidência de que a Alta Direção realmente revisa o SGAI — não apenas aprova documentos. Ata de reunião com presença de CEO ou equivalente, pauta incluindo desempenho do SGAI e decisões registradas é o padrão mínimo esperado.

"Quem é o responsável pelo SGAI e quais são suas atribuições formais?"

A resposta deve vir de um documento, não de memória. Se o responsável precisar "verificar depois", é sinal de problema. O auditor pode pedir para entrevistar o responsável separadamente da Alta Direção — e as respostas precisam ser consistentes.

"A política de IA foi revisada após mudanças relevantes (novo sistema de IA, novo regulamento)?"

Políticas estáticas em ambiente regulatório dinâmico são sinal de desatualização. A entrada em vigor do PL 2338 ou a adoção de um novo LLM em produção deveriam, em tese, disparar revisão da política. O auditor verificará se há processo definido para revisão por mudança (não apenas revisão periódica).

Erros mais comuns

  • Política de IA genérica — documento que poderia se aplicar a qualquer empresa, sem referência ao contexto específico e aos sistemas de IA da organização
  • Comprometimento apenas declarado — CEO assina a política mas não participa das revisões nem consegue responder perguntas sobre o SGAI na entrevista com o auditor
  • Papéis sem autoridade real — CISO "responsável pelo SGAI" mas sem poder de vetar o lançamento de sistema de IA de alto risco ou exigir documentação de fornecedores
  • Comunicação insuficiente — política aprovada mas não comunicada às equipes que desenvolvem e operam sistemas de IA; aprovação existe, disseminação não