ISO 42001
ISO 42001 Cláusulas Cláusula 7
Cláusula 7 · Do · Apoio

Cláusula 7 — Apoio

Garante que a organização tem os meios para operar o SGAI: recursos suficientes, competências específicas em IA, programa de conscientização, canais de comunicação e documentação rastreável.

Cláusula 7 ISO 42001: suporte, competência e documentação do SGAI

O que exige a Cláusula 7

A Cláusula 7 é o conjunto de condições habilitadoras do SGAI. Sem os recursos, as competências e a documentação exigidos nesta cláusula, os controles operacionais da Cláusula 8 não funcionam. Cinco subcláusulas estruturam os requisitos.

7.1 Recursos

A organização deve determinar e prover os recursos necessários para o estabelecimento, implementação, manutenção e melhoria contínua do SGAI.

Recursos que a norma contempla:

  • Recursos humanos — pessoas com competência para operar o SGAI, conduzir avaliações de risco e auditorias
  • Recursos financeiros — orçamento dedicado ao SGAI, incluindo treinamento, ferramentas e auditoria
  • Infraestrutura tecnológica — sistemas de monitoramento, logging com garantia de integridade, ferramentas de gestão de modelos
  • Tempo dedicado — as atividades do SGAI não podem ser "tarefa adicional" sem alocação de tempo formal

O que o auditor verifica: Evidência de que recursos foram formalmente alocados — orçamento aprovado, headcount definido, ferramentas disponíveis.

7.2 Competência

A organização deve determinar a competência necessária para pessoas que trabalham no SGAI; garantir que essas pessoas sejam competentes com base em educação, treinamento ou experiência; quando aplicável, tomar ações para adquirir a competência necessária; e reter evidências documentadas de competência.

Competências específicas de IA que a norma pressupõe:

  • Compreensão de como sistemas de IA funcionam (ao menos nível conceitual para gestores)
  • Conhecimento de riscos específicos de IA — viés, drift, ataques adversariais
  • Capacidade de conduzir ou revisar avaliações de risco e impacto de IA
  • Familiaridade com frameworks regulatórios (LGPD, PL 2338, ISO 42001)
  • Para auditores internos: conhecimento suficiente para auditar sistemas de IA

Documentação exigida: Matriz de competências + registros de treinamento (certificados, atas de treinamento, registros de conclusão de cursos).

7.3 Conscientização

As pessoas que trabalham sob controle da organização devem estar cientes: da política de IA e de como ela se aplica ao seu trabalho; de como contribuem para a eficácia do SGAI; das implicações de não conformidade com o SGAI.

Programa de conscientização eficaz:

  • Treinamento inicial sobre uso responsável de IA para todos os funcionários que interagem com sistemas de IA
  • Treinamento específico para equipes técnicas (engenheiros de ML, cientistas de dados)
  • Comunicação regular sobre atualizações no SGAI, novos riscos identificados, incidentes
  • Processo para reportar preocupações ou incidentes relacionados a IA

Armadilha: Treinamento pontual sem renovação. O ambiente de IA muda rapidamente — o programa de conscientização precisa ser contínuo.

7.4 Comunicação

A organização deve determinar as comunicações internas e externas relevantes para o SGAI: o quê comunicar, quando, para quem, como e quem comunica.

Comunicações internas típicas:

  • Lançamento de novos sistemas de IA para equipes afetadas
  • Resultados de auditorias internas e ações tomadas
  • Mudanças na política de IA ou nos objetivos
  • Incidentes envolvendo sistemas de IA e medidas corretivas

Comunicações externas típicas:

  • Transparência com clientes sobre uso de IA em decisões que os afetam (LGPD Art. 20)
  • Relatórios para reguladores conforme exigido
  • Resposta a solicitações de partes interessadas sobre uso de IA

7.5 Informação documentada

A organização deve incluir informação documentada requerida pela norma e aquela determinada como necessária para a eficácia do SGAI.

Documentos obrigatórios pela ISO 42001 (lista consolidada):

  • Declaração de escopo do SGAI (Cláusula 4.3)
  • Política de IA (Cláusula 5.2)
  • Avaliação de risco de IA por sistema (Cláusula 6.1.1)
  • Avaliação de impacto de IA por sistema (Cláusula 6.1.2)
  • Objetivos de IA e planos para alcançá-los (Cláusula 6.2)
  • Registros de competência e treinamento (Cláusula 7.2)
  • Resultados de monitoramento e medição (Cláusula 9.1)
  • Programa e relatórios de auditoria interna (Cláusula 9.2)
  • Resultados de revisão pela direção (Cláusula 9.3)
  • Natureza das não conformidades e ações corretivas (Cláusula 10.1)

Controles de documentação exigidos:

  • Identificação única de cada documento
  • Formato e mídia adequados
  • Revisão e aprovação formal antes da distribuição
  • Controle de versão com histórico de alterações
  • Proteção contra uso não intencional de versões obsoletas

O que o auditor vai verificar (Cláusula 7)

Recursos formalmente alocados — orçamento ou headcount documentado
Matriz de competências para papéis do SGAI definida
Registros de treinamento em IA para pessoas com papéis no SGAI
Programa de conscientização implementado (não apenas planejado)
Lista de documentos obrigatórios completa e sob controle de versão
Documentos com data de aprovação, responsável e data de revisão

Perguntas frequentes do auditor

"Posso ver os registros de treinamento em governança de IA da equipe de desenvolvimento?"

Sem registros documentados, o treinamento "que aconteceu" não conta para auditoria.

"Quem aprovou este documento? Quando foi revisado pela última vez?"

Documentos sem controle de versão ou aprovação formal são não conformidade.

"Como os funcionários sabem que existe uma política de IA?"

Evidência de comunicação é necessária — email, intranet, assinatura de ciência ou similar.

Erros mais comuns

  • Documentação existente mas não controlada — arquivos no Google Drive sem versão, sem aprovação formal, acessíveis a quem não deveria
  • Treinamento informal sem registro — "todo mundo sabe usar IA com responsabilidade" sem registro de como esse conhecimento foi transmitido
  • Falta de competência técnica — auditor interno sem conhecimento suficiente de IA para avaliar controles técnicos
  • Comunicação unilateral — política comunicada de cima para baixo sem canal para dúvidas ou reportes de preocupações