O que é a ISO 42001
A ISO/IEC 42001:2023 é a primeira norma internacional que define requisitos para um Sistema de Gestão de Inteligência Artificial (SGAI). Publicada em dezembro de 2023 pelo ISO/IEC JTC 1/SC 42, ela especifica como as organizações devem estabelecer, implementar, manter e melhorar continuamente a governança de IA.
Por Anderson Chipak · ALC · Atualizado abr/2026
Contexto: por que a norma foi criada
Antes da ISO 42001, organizações que queriam governar IA responsavelmente não tinham um padrão consolidado — apenas frameworks não-certificáveis (NIST AI RMF, EU AI Act principles, recomendações OCDE). A ISO 42001 muda isso: é auditável, certificável por terceiro e harmonizada com a família ISO de sistemas de gestão.
No Brasil, a chegada da norma coincide com o avanço do PL 2338/2023 (lei de IA). O projeto de lei referencia normas técnicas internacionais como parâmetro de conformidade — tornando a ISO 42001 a ponte entre a regulação e a operação.
Estrutura HLS (High Level Structure)
A ISO 42001 adota a estrutura HLS — o mesmo padrão das normas ISO 27001 (segurança da informação), ISO 9001 (qualidade) e ISO 14001 (ambiental). Isso permite integração com outras certificações já existentes na organização, reutilizando processos de auditoria interna, revisão da direção e gestão de não conformidades.
Cláusulas 1–3 (não auditáveis)
Escopo, referências normativas e termos e definições. Não geram requisitos de conformidade mas estabelecem o vocabulário da norma (sistema de IA, ciclo de vida de IA, impacto de IA, risco de IA).
Cláusula 4 — Contexto da organização
4.1 Entendendo a organização e seu contexto
Identificar questões internas e externas relevantes para a implementação de IA e para o SGAI.
4.2 Partes interessadas
Identificar stakeholders (reguladores, clientes, colaboradores, fornecedores de IA) e suas necessidades e expectativas em relação à IA da organização.
4.3 Escopo do SGAI
Definir quais sistemas de IA estão dentro do escopo da certificação — pode ser a organização inteira ou unidades específicas.
4.4 Sistema de gestão de IA
Estabelecer, implementar, manter e melhorar continuamente o SGAI de acordo com os requisitos da norma.
Cláusula 5 — Liderança
A cláusula 5 é crítica: exige comprometimento demonstrável da Alta Direção — não declarações genéricas. Isso significa: política de IA aprovada pela Diretoria, papéis e responsabilidades formalmente atribuídos, recursos alocados. Em empresas que passam por auditoria SOX ou Big Four, essa cláusula mapeia diretamente para tone at the top de controles internos.
Cláusula 6 — Planejamento
Avaliação e tratamento de riscos específicos de IA (diferentes dos riscos de segurança da informação da ISO 27001 — incluem viés algorítmico, explicabilidade, accountability). A norma também exige que os objetivos do SGAI sejam mensuráveis e rastreáveis.
Cláusula 7 — Apoio
Recursos, competências, conscientização e comunicação. Um requisito muitas vezes subestimado: os colaboradores que usam, desenvolvem ou tomam decisões com base em IA devem ser treinados de forma documentada. A cláusula 7.4 trata da comunicação — interna (quem sabe o que sobre os sistemas de IA) e externa (transparência para clientes e reguladores).
Cláusula 8 — Operação
A mais técnica e extensa. Cobre o ciclo de vida completo dos sistemas de IA: design, desenvolvimento, validação, implantação, monitoramento e descontinuação. Inclui requisitos específicos para:
- Gestão de dados (qualidade, viés, privacidade)
- Documentação de modelos (model cards, data sheets)
- Teste e validação antes da implantação
- Monitoramento em produção (performance, drift, impactos)
- Gestão de fornecedores de IA e modelos de terceiros
- Gestão de incidentes de IA
Cláusula 9 — Avaliação de desempenho
Monitoramento, medição, análise e avaliação do SGAI. Auditorias internas periódicas e revisão formal pela Direção — requisitos idênticos estruturalmente à ISO 27001.
Cláusula 10 — Melhoria
Tratamento de não conformidades (quando um sistema de IA falha ou um requisito da norma é violado) e melhoria contínua do SGAI.
O que diferencia a ISO 42001 de outras iniciativas
| Aspecto | ISO 42001 | NIST AI RMF | EU AI Act |
|---|---|---|---|
| Certificável | Sim | Não | Não |
| Auditável por terceiro | Sim | Não | Parcial |
| Integra ISO 27001/9001 | Sim (HLS) | Não | Não |
| Referenciado no PL 2338 | Sim | Não | Não |
| Origem | ISO/IEC (internacional) | NIST (EUA) | União Europeia |
ISO 42001 no Brasil
A ABNT está em processo de adoção da norma como ABNT NBR ISO/IEC 42001. A versão brasileira seguirá o texto original sem alterações técnicas, apenas com tradução oficial.
O PL 2338/2023 (lei de IA brasileira), em seus artigos sobre obrigações para sistemas de alto risco, estabelece que a conformidade pode ser demonstrada por meio de normas técnicas reconhecidas — criando uma trilha direta entre implementar a ISO 42001 e estar conformes com a futura lei.
Onde você está na ISO 42001?
O Gap Analysis interativo avalia 20 pontos críticos da norma. Gratuito, resultado imediato na tela e plano de ação por email.