Log in
Sign up
Brass precision caliper symbolizing ISO certification companies and audit accreditation rigor

Sections

Empresas de certificação ISO: o guia 2026 na era da IA

Paquímetro de latão como símbolo das empresas de certificação ISO e do rigor das auditorias acreditadas

O essencial

  • A ISO não certifica ninguém. São organismos de certificação independentes que auditam o seu sistema de gestão e emitem o certificado; os organismos de acreditação nacionais (IPAC em Portugal, UKAS no Reino Unido, ANAB nos Estados Unidos, DAkkS na Alemanha, RvA nos Países Baixos) supervisionam esses organismos.
  • O mercado mundial da certificação ISO concentra-se em torno de uma dúzia de grupos: BSI, SGS, Bureau Veritas, TUV, DNV, Intertek, LRQA, NQA, Schellman, Kiwa. Os cinco primeiros somam entre 28 e 32 por cento das receitas; SGS e Bureau Veritas detêm, sozinhos, perto de 36 por cento do volume de certificados emitidos.
  • A norma ISO/IEC 42001 (sistemas de gestão da inteligência artificial) reordena a curta lista relevante. Apenas alguns organismos estão hoje plenamente acreditados: BSI (UKAS, RvA, ANAB), Schellman (ANAB), DNV e NQA (UKAS, ANAB) lideram o pelotão.
  • A 1 de janeiro de 2026, a IAF e a ILAC fundiram-se na Global Accreditation Cooperation Incorporated (GAC). O regime de reconhecimento mútuo (MLA) mantém-se inalterado para o cliente final, mas a entidade jurídica que o suporta é nova.
  • O auditor principal pesa mais do que a marca no certificado. Verifique o seu percurso setorial (SaaS cloud-native, fornecedores de IA, dispositivos médicos, finanças reguladas) antes de assinar.

O que são, de facto, as « empresas de certificação ISO »

A pesquisa empresas de certificação ISO reúne três públicos distintos. Uns querem confirmar o certificado de um fornecedor. Outros procuram um organismo que os audite. Um terceiro grupo, mais reduzido, tenta cartografar o ecossistema antes de escolher uma norma alvo. Este guia dirige-se aos dois últimos, porque é aí que se tomam as decisões estratégicas.

A ISO, com sede em Genebra, é a Organização Internacional de Normalização. Publica as normas (ISO 9001 para qualidade, ISO 14001 para ambiente, ISO 27001 para segurança da informação, ISO/IEC 42001 para sistemas de gestão de IA), mas não certifica ninguém. A página oficial iso.org é inequívoca: a ISO não realiza certificações, não emite certificados e não autoriza ninguém a usar o seu logotipo em contexto de certificação.

O ato de certificação é confiado a organismos externos, regidos pela norma de conformity assessment ISO/IEC 17021-1. Esses organismos, por sua vez, estão sob supervisão dos organismos nacionais de acreditação, enquadrados pela ISO/IEC 17011. É essa dupla independência que dá peso ao certificado ISO em concursos, auditorias de clientes e processos regulatórios.

O vocabulário está agora inscrito no direito europeu da IA. O Regulamento da Inteligência Artificial define um organismo de avaliação da conformidade como « um organismo que exerce atividades de avaliação da conformidade por terceiros, incluindo ensaio, certificação e inspeção » (artigo 3.º, ponto 21), e a avaliação da conformidade como « o processo de demonstrar que estão cumpridos os requisitos definidos no capítulo III, secção 2 » (artigo 3.º, ponto 20). Para os fornecedores de sistemas de IA de risco elevado, o vocabulário ISO passa a ser obrigação legal.

A hierarquia em quatro níveis: ISO, acreditadores, certificadores, certificados

A maioria das páginas que se posiciona nesta pesquisa salta a estrutura. É ela, porém, que dita o número a marcar.

Nível 1: a ISO. Publica as normas. Detém as marcas. Não certifica, não acredita.

Nível 2: os organismos de acreditação. Tipicamente um por país. IPAC em Portugal, UKAS no Reino Unido, ANAB nos Estados Unidos, COFRAC em França, Accredia em Itália, ENAC em Espanha, RvA nos Países Baixos, DAkkS na Alemanha, JAS-ANZ na Austrália e Nova Zelândia, INMETRO no Brasil. O seu papel: confirmar que um organismo de certificação opera segundo a ISO/IEC 17021-1 e é competente num âmbito preciso (por exemplo auditorias ISO 27001 no setor financeiro ou auditorias ISO/IEC 42001 junto a fornecedores de IA generativa).

Nível 3: os organismos de certificação. São, em sentido estrito, as « empresas de certificação ISO ». BSI, SGS, Bureau Veritas, TUV SUD, TUV Rheinland, DNV, Intertek, LRQA, NQA, Schellman, Kiwa, mais várias centenas de operadores menores, especialistas setoriais ou geográficos. Enviam o auditor, leem o vosso sistema de gestão, emitem o certificado.

Nível 4: as organizações certificadas. Os clientes do nível 3. A base de dados iafcertsearch.org permite verificar que uma empresa detém efetivamente um certificado preciso, emitido por um organismo concreto, sob uma acreditação concreta. A ferramenta adequada antes de acreditar na página « Trust » de um fornecedor.

A IAF e a ILAC, que historicamente geriam os acordos de reconhecimento mútuo que tornam um certificado UKAS válido no Brasil e vice-versa, fundiram-se a 1 de janeiro de 2026 na Global Accreditation Cooperation Incorporated (GAC). Na prática, nada muda para os certificados existentes, mas contratos e cadernos de encargos posteriores a essa data devem citar a GAC.

As principais empresas de certificação ISO em 2026

A lista seguinte aplica três filtros: pegada global de acreditação, amplitude das normas cobertas e prontidão para ISO/IEC 42001. Por organismo, indicam-se o nome, as normas de referência, as acreditações e a razão prática pela qual uma empresa o escolhe ou descarta.

BSI Group

O organismo nacional britânico de normalização e um dos cinco maiores certificadores globais. Acreditações UKAS, RvA e ANAB: um certificado BSI é imediatamente reconhecido no Reino Unido, na União Europeia e na América do Norte. O BSI foi o primeiro organismo no mundo a ser acreditado pela UKAS para a ISO/IEC 42001, conforme a sua página dedicada. Para organizações cujo roteiro empilha ISO 27001, ISO 27701 e ISO/IEC 42001, o BSI é a opção de balcão único mais limpa.

Grupo SGS

O genebrino SGS é o maior grupo mundial de testing, inspeção e certificação por receita, com cerca de 19 por cento do volume global de certificados ISO segundo estudos setoriais. Acreditações UKAS, ANAB, DAkkS, COFRAC, Accredia e dezenas de outras. A opção segura para implementações multinacionais em que cada subsidiária regional precisa de um certificado local mutuamente reconhecido.

Bureau Veritas

O equivalente francês do SGS, cerca de 17 por cento do volume mundial. Forte enraizamento industrial (energia, automotivo, construção, marítimo) e atividade crescente na certificação de sistemas de gestão de empresas digitais. O Bureau Veritas dispõe de uma prática dedicada à assurance de IA e está a estender a sua capacidade ISO/IEC 42001, embora a acreditação regional ainda esteja em maturação.

TUV (TUV SUD, TUV Rheinland, TUV Nord)

As três entidades TUV são organizações irmãs que concorrem entre si. Dominam o espaço DACH (Alemanha, Áustria, Suíça) e estão acreditadas pela DAkkS, ANAB e outros. O TUV SUD e o TUV Rheinland são os mais ativos na assurance de IA. A primeira chamada para um cliente industrial ou para uma organização com forte necessidade de auditoria em alemão.

DNV

Fundação norueguesa de sólida reputação técnica, especialmente no marítimo, energia, saúde e ciências da vida. O DNV é um certificador independente acreditado para a ISO/IEC 42001, conforme a sua página de serviço. Tende a destacar auditores com perfil de engenharia mais marcado do que a média dos organismos de topo.

Intertek

Sede em Londres, ampla cobertura setorial, forte em bens de consumo, eletrónica e assurance da cadeia de abastecimento. Acreditações UKAS, ANAB e inúmeras acreditações regionais. Menos visível do que o BSI na narrativa de IA, mas alternativa credível para quem já utiliza o Intertek em ensaios de produto.

LRQA

Antigo Lloyd’s Register Quality Assurance. Acreditação UKAS, forte posicionamento marítimo, energia, segurança alimentar e cadeia de abastecimento. Estilo de auditoria voltado para o rigor operacional, mais do que para a ginástica documental.

NQA

Certificador britânico que pesa acima da sua dimensão nas auditorias ISO 27001 do setor tech, e acreditado pela UKAS e pela ANAB para a ISO/IEC 42001 conforme a sua página dedicada. Concorrente credível do BSI numa auditoria combinada ISO 27001 mais 42001, frequentemente a um preço sensivelmente inferior.

Schellman

Certificador norte-americano tornado primeiro organismo acreditado pela ANAB para a ISO/IEC 42001 nos Estados Unidos, segundo a página de governance de IA da Schellman. Para um fornecedor de IA norte-americano, ponto de partida natural, graças a esse estatuto de pioneiro e porque a firm já cobre SOC 2, HIPAA e ISO 27001 para o mesmo perfil de cliente.

Kiwa NV

Certificador neerlandês com forte acreditação RvA e especialista em construção, agricultura, energia e alimentação. Incluído aqui como alternativa continental credível à « Big Five » para quem opera sobretudo na Europa.

ISO/IEC 42001: a norma de IA que reordena o panorama

Publicada em dezembro de 2023, a ISO/IEC 42001:2023 é a primeira norma internacional de sistema de gestão dedicada à inteligência artificial. À semelhança da ISO 27001 para a segurança da informação, especifica as políticas, processos, controlos e ciclos de melhoria contínua que uma organização deve implantar para governar os seus sistemas de IA ao longo de todo o ciclo de vida.

Entre 2024 e 2026, os organismos nacionais de acreditação desdobraram os seus programas a ritmos diferentes. UKAS, RvA e ANAB foram pioneiros; DAkkS, COFRAC, Accredia e os restantes estão a recuperar terreno. A página do programa ANAB sobre a ISO/IEC 42001 mantém a lista dos organismos acreditados nos Estados Unidos; o registo UKAS faz o mesmo no Reino Unido.

A dimensão europeia também importa. O CEN-CENELEC prepara as normas europeias harmonizadas que abrirão uma presunção de conformidade com o Regulamento da IA, incluindo trabalhos identificados como prEN 18228 e prEN 18282. Estes projetos são confidenciais enquanto estão em elaboração, mas a sua existência significa que cada organismo de certificação que investe hoje em capacidade ISO/IEC 42001 está a construir, em paralelo, a equipa que amanhã irá conduzir as avaliações de conformidade do Regulamento.

Leitura prática: em 2026, a curta lista para organizações com forte intensidade em IA é mais reduzida do que a SERP genérica sugere. Confirme que o âmbito da acreditação cita explicitamente a ISO/IEC 42001, e não apenas « serviços de IA », antes de assinar. O registo no IAF CertSearch deve identificar a norma pelo código.

Como escolher o seu organismo de certificação

Cinco critérios, pela ordem em que os responsáveis de compliance experientes os aplicam:

  1. Acreditação para a norma exata, por um signatário MLA da GAC. Peça o certificado de acreditação, não a página de marketing. Confirme que a declaração de âmbito inclui a norma requerida (por exemplo ISO/IEC 42001:2023) e os códigos setoriais que correspondem à sua atividade. Único critério inegociável.
  2. O auditor, não a marca. Pergunte qual será o auditor principal designado. Leia o seu perfil de LinkedIn. Procure experiência setorial, não apenas anos de auditoria. Uma excelente auditoria pode vir de um certificador económico com um auditor de topo, e uma dececionante de um certificador premium com um auditor demasiado júnior.
  3. Cobertura geográfica. Se operar em várias jurisdições, verifique se o organismo pode auditar as suas filiais com o mesmo âmbito ou dispõe de acordos recíprocos sob a MLA da GAC. Um mosaico de certificados nacionais é uma dor de cabeça para a função de compras.
  4. Sobreposição com auditorias existentes. Se as suas equipas já realizam SOC 2, HIPAA, PCI DSS ou ISO 27001 com um certificador, juntar a ISO/IEC 42001 ao mesmo contrato traduz-se em geral em menos esforço acumulado e numa cadeia de evidências mais limpa. Os certificadores multinorma (BSI, SGS, Bureau Veritas, NQA, Schellman) estão desenhados para isso.
  5. Custo e prazos, em último lugar. Uma primeira auditoria ISO 27001 para um SaaS de dimensão média custa tipicamente entre 15.000 e 40.000 dólares; uma primeira auditoria ISO/IEC 42001 situa-se entre 20.000 e 50.000 dólares, porque a norma é recente e a oferta de auditores escassa. Recertificação de três em três anos, com auditorias de acompanhamento anuais.

O que diz o Regulamento da IA sobre a avaliação da conformidade

O Regulamento europeu da IA incorpora o vocabulário ISO da avaliação da conformidade no direito europeu vinculativo. Três definições enquadram qualquer decisão sobre organismo de certificação em 2026.

O artigo 3.º, ponto 20 define a avaliação da conformidade como « o processo de demonstrar que estão cumpridos os requisitos definidos no capítulo III, secção 2 » (artificialintelligenceact.eu/article/3/).

O artigo 3.º, ponto 21 define o organismo de avaliação da conformidade como « um organismo que exerce atividades de avaliação da conformidade por terceiros, incluindo ensaio, certificação e inspeção ». Esses organismos, quando notificados ao abrigo do Regulamento da IA, avaliarão os sistemas de IA de risco elevado antes da colocação no mercado da União.

O artigo 3.º, ponto 24 define a marcação CE como « uma marcação através da qual um fornecedor indica que um sistema de IA está em conformidade com os requisitos definidos no capítulo III, secção 2, e com outras disposições aplicáveis do direito da União ».

Os organismos notificados ao abrigo do Regulamento da IA não são a mesma entidade jurídica que os organismos de certificação ISO, mas as competências de auditoria, a metodologia e, frequentemente, o grupo proprietário sobrepõem-se de modo expressivo. BSI, TUV SUD, Bureau Veritas, DNV e SGS já dispõem de ramos de organismo notificado noutros domínios de marcação CE e posicionam-se para a notificação ao abrigo do Regulamento da IA. Escolher um certificador que combine acreditação ISO/IEC 42001 e candidatura a organismo notificado do Regulamento da IA equivale a comprar opcionalidade: uma só relação de auditoria, dois regimes regulatórios.

Onde se encaixa a AI Sigil no vosso percurso de certificação

A AI Sigil não é um organismo de certificação. É a plataforma de governance que se utiliza antes da chegada do auditor. Os nossos clientes inventariam nela cada sistema de IA da organização, mapeiam-no com os controlos exigidos pela ISO/IEC 42001, pelo NIST AI RMF e pelo Regulamento da IA, anexam evidências a cada controlo e geram o relatório pronto a auditar que o organismo de certificação vai examinar.

Efeito prático: uma auditoria que de outra forma exigiria 8 a 12 semanas de recolha de evidências reduz-se à auditoria propriamente dita, porque cada artefacto já está estruturado conforme as expectativas dos auditores ISO/IEC 17021-1. Os nossos clientes escolhem o certificador na lista acima em função da acreditação e do ajuste setorial, e chegam ao contrato com inventário de IA, registo de riscos, mapeamento de controlos e biblioteca de evidências já exportáveis.

A plataforma pára deliberadamente antes do papel de auditor. É precisamente a independência entre a organização auditada, a ferramenta de governance e o organismo de certificação que dá valor ao certificado a jusante.

Perguntas frequentes

A própria ISO certifica empresas? Não. A ISO publica as normas mas não realiza certificações nem emite certificados. São organismos de certificação independentes, supervisionados pelos organismos nacionais de acreditação, que realizam as auditorias e atribuem os certificados. A ISO declara-o expressamente na sua página de certificação.

Qual a diferença entre acreditação e certificação? A certificação é a garantia por terceiros de que o sistema de gestão de uma organização cumpre uma norma ISO concreta. A acreditação é o reconhecimento formal de que o organismo emissor do certificado é, ele próprio, competente e imparcial. Um certificado ISO emitido por um organismo não acreditado é tecnicamente válido, mas pesa pouco em concursos e processos regulatórios.

Qual o maior organismo de certificação ISO? Por volume de certificados emitidos, o SGS lidera com cerca de 19 por cento do mercado mundial, seguido pelo Bureau Veritas, com aproximadamente 17 por cento. Por receita, os cinco primeiros (SGS, Bureau Veritas, Intertek, TUV SUD, BSI) somam entre 28 e 32 por cento do mercado mundial de serviços de certificação ISO.

Quanto custa uma certificação ISO? Primeira auditoria ISO 27001 para um SaaS de dimensão média: tipicamente 15.000 a 40.000 dólares, com auditorias de acompanhamento anuais e recertificação de três em três anos. Primeira auditoria ISO/IEC 42001: 20.000 a 50.000 dólares, conforme o âmbito, a geografia e a senioridade do auditor. Uma auditoria combinada multinorma (por exemplo ISO 27001 mais ISO 27701 mais ISO/IEC 42001) no mesmo certificador reduz o custo por norma em 15 a 30 por cento.

O mesmo organismo pode certificar-me em ISO 27001 e ISO/IEC 42001? Sim, desde que disponha de acreditação para as duas. BSI, NQA, Schellman, DNV e vários dos grandes certificadores estão acreditados para ambas. Um contrato combinado é, em regra, mais rápido e mais económico do que dois contratos separados, porque a base de evidências se sobrepõe de forma substancial.

Quem substituiu a IAF em 2026? A International Accreditation Forum (IAF) e a International Laboratory Accreditation Cooperation (ILAC) fundiram-se na Global Accreditation Cooperation Incorporated (GAC) a 1 de janeiro de 2026. Os acordos de reconhecimento mútuo (antes IAF MLA e ILAC MRA) passam a operar sob a GAC. Os certificados existentes mantêm-se válidos e o reconhecimento mútuo continua sem alterações para o cliente final.

Conclusão

A pesquisa empresas de certificação ISO esconde três percursos de compra distintos, mas a resposta converge na mesma curta lista. Escolha um organismo acreditado por um signatário MLA da GAC para a norma exata de que precisa, ajuste a experiência setorial do auditor principal designado à sua realidade técnica e confirme que o organismo dispõe hoje de acreditação ISO/IEC 42001 ou de um roteiro credível para a obter. O mercado é vasto, mas a curta lista relevante para os compradores da era da IA é estreita: BSI, SGS, Bureau Veritas, TUV SUD, DNV, Intertek, LRQA, NQA, Schellman e Kiwa cobrem cerca de 95 por cento da procura digna de análise. A AI Sigil situa-se um passo antes no percurso, ao transformar o vosso inventário de IA no dossier de evidências que qualquer um destes auditores irá querer ver logo no primeiro dia.

Sofia Almeida

Empresas de certificação ISO: o guia 2026 na era da IA

Comparação das principais empresas de certificação ISO em 2026, quem está acreditado em ISO/IEC 42001 para sistemas de gestão de IA e como escolher o auditor.

ISO 42001 explicada: a primeira norma certificável para um sistema de gestão da IA

A ISO/IEC 42001 é a primeira norma certificável para um sistema de gestão da IA. Cláusulas, controlos do Anexo A, certificação e lacuna face ao Regulamento IA.

Conformidade e governação: o sistema operativo da era IA

Conformidade e governação são um modelo operacional, não dois. NIST CSF 2.0, OCEG e o Regulamento da IA recableiam-no.

NIST AI Risk Management Framework: guia operacional para equipas de governance de IA

Como integrar o NIST AI Risk Management Framework num programa de cumprimento do Regulamento da IA e da ISO 42001, função a função, com um ciclo operacional verificável.

O risco principal da IA generativa: porque as alucinações dominam todas as outras falhas

O risco dominante da IA generativa não é o enviesamento nem o direito de autor. É a alucinação. Eis o porquê, e o plano de actuação para quem implementa.

Shadow AI: por que a IA paralela é antes de tudo um problema de governance

O Shadow AI quebra os inventários exigidos pelo Regulamento da IA, ISO 42001 e NIST RMF. Como descobri-lo e registrar-lo num registo central.