Quando a IA é Imposta à Conformidade: O ECCP como Seu Guia
O e-mail chega sem aviso prévio. A empresa selecionou uma plataforma de IA. O departamento de TI já está integrando-a, e um piloto está em andamento. O Conselho de Administração está a bordo e entusiasmado. O Diretor de Conformidade foi solicitado a “fornecer governança” dentro de uma semana.
Onde Começar?
A resposta é simples. Você pode começar com a Avaliação de Programas de Conformidade Corporativa (ECCP) de 2024 do Departamento de Justiça dos EUA.
O ECCP deixa claro: os promotores avaliarão como as empresas identificam, gerenciam e controlam os riscos decorrentes de novas tecnologias, incluindo a inteligência artificial, tanto nas operações comerciais quanto dentro dos próprios programas de conformidade. Mas mesmo dentro desse mandato processual, há informações que oferecem um ponto de partida para esse pedido de gestão.
Reformule a IA como uma Questão de Avaliação de Risco
O primeiro passo é parar de tratar a IA como uma implementação técnica e começar a vê-la como uma obrigação de avaliação de risco. O ECCP é claro ao afirmar que as avaliações de risco devem evoluir conforme os riscos internos e externos mudam, e menciona especificamente a IA como uma tecnologia que requer análise afirmativa. Os promotores questionarão se a empresa avaliou como a IA pode impactar a conformidade com as leis criminais, se os riscos da IA foram integrados à gestão de risco empresarial e se existem controles para garantir que a IA seja usada apenas para seus propósitos pretendidos.
Para o Diretor de Conformidade, isso significa incorporar formalmente os casos de uso da IA na avaliação de risco de conformidade. Se a IA interferir em investigações, monitoramento, treinamento, diligência de terceiros ou relatórios, então estará sob a supervisão do DOJ.
Inventário Antes de Redigir Políticas
O ECCP não recompensa políticas aspiracionais sem suporte factual. Os promotores querem entender por que uma empresa estruturou seu programa de conformidade da maneira que fez. Antes de redigir estruturas de governança da IA, a conformidade deve exigir um inventário completo do uso da IA:
- Quais ferramentas estão implantadas ou em piloto;
- Quais funções comerciais as utilizam;
- Quais dados elas ingerem; e
- Se as saídas são consultivas ou moldadoras de decisões.
Esse inventário deve incluir explicitamente o uso de ferramentas de IA generativa pelos funcionários. O ECCP enfatiza a gestão do uso indevido e das consequências não intencionais da tecnologia. O uso não gerenciado de “IA sombra” é agora uma falha de conformidade, não um inconveniente de TI.
Concentre-se na Integridade da Decisão, Não no Design do Modelo
Um dos insights mais negligenciados do ECCP é que o DOJ avalia resultados e responsabilidade, não a elegância técnica. Quando a IA é utilizada, os promotores perguntarão:
- Quais decisões a IA influenciou;
- Qual era a base do julgamento humano; e/ou
- Como a responsabilidade foi atribuída e aplicada.
Assim, os diretores de conformidade devem centrar a governança em torno das decisões, não dos algoritmos. Se ninguém consegue explicar como uma saída da IA foi avaliada, substituída ou escalada, a empresa não pode demonstrar que seu programa de conformidade funciona na prática. O ECCP pergunta explicitamente qual “base de tomada de decisão humana” é usada para avaliar as saídas da IA e como a responsabilidade sobre o uso da IA é monitorada e aplicada. Isso se traduz diretamente em uma das frases mais onipresentes sobre IA, o Humano no Controle. No entanto, isso pode ser visto como um controle interno em um programa de conformidade de melhores práticas. Os controles de humano no controle devem ser reais, documentados e empoderados.
Exija Explicabilidade para Conselhos e Reguladores
O DOJ não espera que os conselhos entendam arquiteturas de aprendizado de máquina. Ele espera que os conselhos exerçam supervisão informada. O ECCP pergunta repetidamente se a conformidade pode explicar riscos, controles e falhas para a alta administração e o conselho. Se um diretor de conformidade não consegue explicar, em linguagem simples, como a IA afeta decisões de conformidade, o programa não é defensável. Cada caso de uso material de IA deve ter uma narrativa pronta para o conselho:
- Por que a IA é usada;
- Quais riscos ela cria;
- Onde o julgamento humano intervém; e
- Como os erros são detectados e corrigidos.
Isso não é opcional. Os promotores avaliarão quais informações os conselhos revisaram e como exerceram a supervisão.
Integre a Governança da IA em Controles Existentes
O ECCP adverte contra “programas de papel”. Isso significa que a governança da IA não pode estar em um silo de política separado. Os controles relacionados à IA devem se integrar às estruturas de conformidade existentes, como protocolos de investigações, mecanismos de relatórios, treinamento, auditoria interna e governança de dados. Se a IA identificar má conduta, como isso será escalado? Se a IA apoiar investigações, como as saídas são preservadas e documentadas? Se a IA apoiar o treinamento, como a eficácia é medida? O DOJ buscará consistência na abordagem, documentação e monitoramento, não novidade.
Insista em Recursos e Autoridade
O ECCP dedica atenção significativa a se as funções de conformidade estão adequadamente financiadas, capacitadas e autônomas. Isso normalmente se aplica a diretores de conformidade e profissionais de conformidade. Seria uma extensão lógica que, se a responsabilidade pela governança da IA for atribuída à conformidade, essa área deve ter acesso a dados, explicações técnicas e autoridade de escalonamento. Atribuir responsabilidade sem recursos é, em termos do DOJ, evidência de um programa que não é aplicado de boa fé. Um mandato forçado sem financiamento ou autoridade é, em si, um risco de conformidade.
Documente a Evolução
Finalmente, os diretores de conformidade devem documentar não apenas controles, mas evolução. O ECCP enfatiza repetidamente a melhoria contínua, testes e revisões. A governança da IA não será perfeita. O DOJ não espera perfeição. Ele espera evidências de que a empresa identificou riscos, testou controles, aprendeu com falhas e ajustou. Atas de reuniões, revisões de pilotos, avaliações de risco e etapas de remediação são todas importantes. O que isso soa? Documentar, documentar, documentar.
Conclusão
Quando a IA é imposta à conformidade, a resistência pode ser compreensível, mas, no final das contas, ineficaz. O DOJ já ultrapassou a questão de saber se a IA deve ser governada. A única questão restante é se a governança é credível. Para o diretor de conformidade de hoje, a governança da IA não é mais opcional, técnica ou teórica. É um teste ao vivo de se o programa de conformidade é bem projetado, capacitado e funcional na prática.
Finalmente, se você, como profissional de conformidade, só está ouvindo sobre o uso de IA em sua organização quando essa tarefa é repassada, você realmente precisa de um assento à mesa.
