Representação visual de dados e tecnologia em um holograma em formação circular

Gerenciando a Inteligência Artificial: destaques da ISO/IEC 42001:2023 

12 de Agosto de 2024

O uso de ferramentas baseadas em inteligência artificial (IA) aumenta a cada dia, o que têm exigido um aumento na atenção e responsabilidade em torno dessa tecnologia transformadora. Com o intuito de fornecer diretrizes claras e abrangentes para a gestão responsável de sistemas de IA, a International Organization for Standardization (ISO) e a International Electrotechnical Commission (IEC) publicaram recentemente a norma ISO/IEC 42001:2023.   

Esse novo padrão internacional estabelece requisitos e orientações para que as organizações, independentemente do seu tamanho ou setor de atuação, possam implementar e manter um sistema de gestão de IA eficaz. O objetivo é ajudar as empresas a desempenharem seu papel de forma responsável em relação aos sistemas de IA, desde o uso, desenvolvimento, monitoramento até o fornecimento de produtos e serviços baseados nessa tecnologia

A norma aborda considerações específicas da IA, como tomada automática de decisões, análise de dados, aprendizado de máquina e aprendizado contínuo. Ela fornece uma estrutura abrangente para que as organizações compreendam seu contexto, identifiquem partes interessadas relevantes, estabeleçam políticas e objetivos de IA, avaliem e tratem riscos, além de promoverem a melhoria contínua de seus sistemas de gestão. 

Confira a seguir um resumo dos principais pontos da norma. 

 

1. Contexto da Organização 

1.1. Compreendendo a organização e seu contexto 

A organização deve determinar as questões externas e internas relevantes para seu propósito e a capacidade do sistema de gestão de IA de alcançar os resultados pretendidos. Isso inclui considerar o propósito pretendido dos sistemas de IA, os papéis da organização em relação a esses sistemas, requisitos legais aplicáveis, políticas, incentivos, cultura e panorama competitivo. 

1.2. Compreendendo as necessidades e expectativas das partes interessadas

A organização deve identificar as partes interessadas relevantes, seus requisitos relacionados ao sistema de gestão de IA e quais requisitos serão abordados por meio do sistema.

1.3. Determinando o escopo do sistema de gestão de IA

A organização deve determinar os limites e a aplicabilidade do sistema de gestão de IA, considerando as questões externas e internas e os requisitos das partes interessadas. 

 

2. Liderança

2.1. Liderança e comprometimento

A alta administração deve demonstrar liderança e comprometimento com o sistema de gestão de IA, incluindo garantir o estabelecimento de uma política de IA, a integração dos requisitos nos processos de negócios, fornecer recursos e promover a melhoria contínua.

2.2. Política de IA

A organização deve estabelecer uma política de IA que forneça uma estrutura para definir objetivos de IA, inclua compromissos para atender aos requisitos e melhorar continuamente, e seja comunicada dentro da organização e para as partes interessadas.

2.3. Funções, responsabilidades e autoridades

A alta administração deve atribuir responsabilidades e autoridades para garantir a conformidade com o sistema de gestão de IA e relatar seu desempenho.

 

3. Planejamento

3.1. Ações para abordar riscos e oportunidades

A organização deve determinar os riscos e oportunidades que precisam ser abordados para garantir a eficácia do sistema de gestão de IA, prevenir ou reduzir efeitos indesejados e alcançar a melhoria contínua. Ela deve estabelecer critérios de risco de IA, realizar avaliações de risco de IA, conduzir o tratamento de risco de IA e avaliar os impactos do sistema de IA.

3.2. Objetivos de IA e planejamento para alcançá-los

A organização deve estabelecer objetivos mensuráveis de IA consistentes com a política de IA, considerar requisitos aplicáveis e planejar ações para alcançar esses objetivos.

3.3. Planejamento de mudanças

A organização deve realizar as mudanças planejadas no sistema de gestão de IA de maneira controlada. 

4. Suporte

4.1. Recursos

A organização deve determinar e fornecer os recursos necessários para o sistema de gestão de IA, incluindo identificar e documentar os recursos relevantes para as várias etapas do ciclo de vida e atividades do sistema de IA. 

5. Competência

A organização deve garantir que o pessoal que realizar trabalhos que afetem o desempenho da IA tenha competência com base em educação, treinamento ou experiência apropriados.

6. Conscientização

As pessoas que trabalham sob o controle da organização devem estar cientes da política de IA, de sua contribuição para a eficácia do sistema de gestão de IA e das implicações da não conformidade.

7. Comunicação

A organização deve determinar as comunicações internas e externas relevantes relacionadas ao sistema de gestão de IA.

8. Informações Documentadas

A organização deve manter as informações documentadas exigidas por este documento e determinadas como necessárias para a eficácia do sistema de gestão de IA. 

9. Operação

9.1. Planejamento e Controle Operacionais

A organização deve planejar, implementar e controlar os processos necessários para atender aos requisitos e implementar as ações determinadas durante o planejamento. Ela deve implementar os controles relevantes e monitorar sua eficácia. 

10. Avaliação de Risco de IA

A organização deve realizar avaliações de risco de IA em intervalos planejados ou quando ocorrerem mudanças significativas, e manter informações documentadas dos resultados.  

11. Tratamento de Risco de IA

A organização deve implementar o plano de tratamento de risco de IA, verificar sua eficácia e manter informações documentadas dos resultados.

12. Avaliação de Impacto do Sistema de IA

A organização deve realizar avaliações de impacto do sistema de IA em intervalos planejados ou quando ocorrerem mudanças significativas, e manter informações documentadas dos resultados.  

13. Avaliação de desempenho

13.1. Monitoramento, medição, análise e avaliação

A organização deve determinar o que precisa ser monitorado e medido, os métodos para fazer isso e quando os resultados do monitoramento e da medição serão analisados e avaliados. As informações documentadas dos resultados devem estar disponíveis. 

14. Auditoria Interna

A organização deve realizar auditorias internas em intervalos planejados para determinar se o sistema de gestão de IA está em conformidade com os requisitos e é implementado e mantido de forma eficaz.

15. Análise Crítica pela Gestão

A alta administração deve analisar criticamente o sistema de gestão de IA em intervalos planejados, considerando seu desempenho, mudanças nas questões e requisitos das partes interessadas e oportunidades de melhoria contínua. 

16. Melhoria

16.1. Melhoria Contínua

A organização deve melhorar continuamente a adequação, a suficiência e a eficácia do sistema de gestão de IA. 

17. Não conformidade e ação corretiva

Quando ocorrer uma não conformidade, a organização deve tomar medidas para controlá-la e corrigi-la, lidar com as consequências, determinar as causas e implementar as ações necessárias para evitar a recorrência. 

18. Anexos

O documento inclui vários anexos normativos e informativos:  

  • Anexo A: Objetivos de controle de referência e controles
  • Anexo B: Orientação para implementação dos controles de IA
  • Anexo C: Possíveis objetivos organizacionais relacionados à IA e fontes de risco
  • Anexo D: Uso do sistema de gestão de IA em diferentes domínios ou setores

Esses anexos fornecem orientação detalhada, exemplos e considerações para implementar os requisitos e controles especificados no corpo principal do documento. 

 

Curso de interpretação

Se você precisa estar atualizado(a) sobre a norma ISO 42001 ou quer aprimorar seus conhecimentos para se destacar na área de sistemas de gestão de IA, conheça o nosso ISO 42001 Interpretação - Sistema de Gestão de Inteligência Artificial e faça já sua inscrição.

Inscreva-se já!