O essencial
- Um quadro de governação da IA é o sistema operativo que traduz princípios abstratos em controlos auditáveis ao longo de todo o ciclo de vida dos sistemas de IA.
- Em 2026, contam quatro referenciais: o NIST AI RMF, a ISO/IEC 42001, o Regulamento europeu sobre IA e os Princípios de IA da OCDE, cada um com um estatuto diferente (voluntário, certificável, vinculativo, normativo).
- Todos os quadros credíveis convergem nos mesmos cinco pilares: inventário, avaliação de riscos e impactos, controlos e supervisão humana, evidências e rastreabilidade, melhoria contínua.
- Os quadros não se distinguem pelo seu texto mas pela sua ativação. A maioria das organizações tem políticas. Muito poucas dispõem de um inventário de modelos vivo, avaliações de impacto assinadas ou um repositório de evidências dos últimos doze meses entregável amanhã a um auditor.
- A data de aplicação do Regulamento europeu sobre IA, fixada em 2 de agosto de 2026, faz passar a governação de exercício em papel a disciplina operacional verificável.
O que é um quadro de governação da IA?
Um quadro de governação da IA é a forma estruturada de decidir quem é responsável por um sistema de IA, como se mede o risco antes e depois do lançamento, que controlos devem estar ativos em produção e que evidências a organização pode apresentar no dia em que for chamada a responder. Indica ao chief risk officer o que terá de produzir quando uma autoridade de supervisão questionar um modelo concreto.
Dos princípios aos controlos
A maioria das conversas confunde quatro objetos muito diferentes sob o mesmo rótulo. Os princípios (Princípios de IA da OCDE, Processo de Hiroshima, Recomendação UNESCO) descrevem valores. Os quadros (NIST AI RMF) traduzem valores em resultados esperados e ações recomendadas. As normas de gestão (ISO/IEC 42001) especificam os requisitos que um sistema de gestão deve satisfazer para ser certificável. Os regulamentos (Regulamento europeu sobre IA, AI Basic Act sul-coreana, Colorado SB 24-205) são vinculativos e exequíveis. Tratar a ISO 42001 como regulamento, ou o Regulamento europeu como quadro voluntário, continua a ser a primeira fonte de erros de âmbito nos projetos de governação.
Por que o tema deixou de ser adiável em 2026
Três mudanças simultâneas fecharam a janela da governação oportunista. O Regulamento europeu sobre IA torna-se exigível a 2 de agosto de 2026 para os sistemas de alto risco do anexo III e para as obrigações de transparência do artigo 50.º. As certificações ISO 42001 passaram do piloto à produção: todos os grandes fornecedores cloud e um número crescente de fabricantes de software empresarial detêm já o certificado. O NIST publicou a 7 de abril de 2026 uma nota conceptual para um perfil AI RMF dedicado às infraestruturas críticas, sinal de que os perfis setoriais se vão multiplicar. As áreas de compras pedem evidências de governação nos concursos. A pergunta deixou de ser se, é qual quadro e em que prazo.
Os quatro quadros que toda a direção de governação deve conhecer
NIST AI RMF 1.0 e os seus perfis
O NIST AI Risk Management Framework é a referência dos Estados Unidos. É voluntário, foi construído com mais de 240 organizações da indústria, academia, sociedade civil e administração pública, e operacionaliza a IA fiável através de quatro funções: Govern (cultivar a cultura de risco), Map (contextualizar o sistema), Measure (avaliar e acompanhar os riscos), Manage (priorizar e tratar os riscos). Dois perfis alargam o seu alcance. O perfil de IA generativa NIST AI 600-1 aborda os riscos próprios da GenAI (alucinações, capacidades perigosas, privacidade). O perfil para infraestruturas críticas, anunciado a 7 de abril de 2026, irá orientar os operadores de energia, transportes, água e telecomunicações na integração de capacidades de IA.
ISO/IEC 42001:2023
A ISO/IEC 42001:2023 é a primeira norma internacional de sistema de gestão para a IA (AIMS). Adota a estrutura Plan-Do-Check-Act, já familiar a qualquer organização certificada ISO 27001 ou ISO 9001, e aplica-se a qualquer organização, independentemente da sua dimensão, que desenvolva, forneça ou utilize produtos ou serviços baseados em IA. A norma introduz conceitos ausentes nos sistemas de gestão anteriores: uma política de IA, uma avaliação de riscos de IA, uma avaliação de impacto de IA, controlos sobre o ciclo de vida dos sistemas de IA e uma governação de dados pensada para as fases de treino e inferência. É certificável, o que a torna a resposta natural quando clientes, investidores ou seguradoras exigem uma atestação de terceiro de que a IA é gerida e não apenas usada.
Regulamento europeu sobre IA
O Regulamento europeu sobre IA é um regulamento, não um quadro. Obriga fornecedores, responsáveis pela aplicação, importadores e distribuidores de sistemas de IA colocados no mercado da União, independentemente do país de estabelecimento da organização. O marco de agosto de 2026 ativa as obrigações para sistemas de alto risco do anexo III (sistema de gestão do risco, governação de dados, documentação técnica, registo de logs, transparência, supervisão humana, exatidão, robustez, cibersegurança, avaliação de conformidade), as obrigações de transparência do artigo 50.º para chatbots e conteúdos sintéticos e o regime sancionatório. O artigo 26.º é o mais subestimado nas revisões de governação. Os responsáveis pela aplicação de IA de alto risco têm de controlar os dados de entrada, conservar os registos durante pelo menos seis meses, monitorizar o funcionamento face às instruções de utilização do fornecedor, comunicar incidentes graves e informar os representantes dos trabalhadores e o pessoal envolvido quando o sistema é utilizado em contexto laboral. A conformidade não é externalizável ao fornecedor.
Princípios de IA e Orientações de devida diligência da OCDE
Os Princípios de IA da OCDE (adotados em 2019, atualizados em maio de 2024) articulam cinco valores: crescimento inclusivo, Estado de Direito e direitos humanos, transparência e explicabilidade, robustez/segurança, responsabilização. Operam a uma altitude superior à do NIST ou da ISO e continuam a ser a referência mais citada nas estratégias nacionais de IA. Em 19 de fevereiro de 2026 a OCDE publicou as suas Orientações de devida diligência para uma IA responsável, um dispositivo em seis passos adaptado à IA. As multinacionais já familiarizadas com as Diretrizes da OCDE para Empresas Multinacionais passam a dispor de uma estrutura paralela para a IA sem precisarem de inventar um novo modelo operacional.
Os cinco pilares comuns a qualquer quadro credível
Ao ler em paralelo NIST RMF, ISO 42001, Regulamento europeu e Orientações OCDE, surgem sob nomes diferentes os mesmos cinco pilares. Qualquer plano de ativação sério tem de tratar os cinco, e a força de um programa de governação é definida pelo pilar mais fraco, não pelo mais sólido.
Inventário e classificação
Não se governa o que não se sabe listar. O pilar começa com um inventário de modelos e um registo de casos de uso, e sobrepõe depois a classificação de risco. A pirâmide de risco do Regulamento (inaceitável, elevado, limitado, mínimo) e a análise de riscos da ISO 42001 pressupõem essa base. A maioria das organizações descobre durante o inventário que tem três a dez vezes mais casos de uso de IA do que a direção imaginava: compras paralelas, funcionalidades embebidas em produtos de fornecedores, modelos de ML escondidos em ferramentas de business intelligence, pilotos passados a produção. O inventário é também o local onde se trata a questão das implantações de IA generalista (Microsoft Copilot, Google Gemini, RAG internos). São sistemas de IA, entram no âmbito das obrigações e as responsabilidades do responsável pela aplicação aplicam-se.
Avaliação de riscos e impactos
Para além do risco de segurança e operacional clássico, a IA introduz um risco sobre os direitos fundamentais (no Regulamento europeu formalizado através da avaliação de impacto sobre os direitos fundamentais do artigo 27.º para certos responsáveis pela aplicação), um risco de viés e discriminação, um risco associado à decisão automatizada e um risco de dano a jusante para os sistemas de utilização geral. A avaliação tem de ser repetível, documentada e refeita a cada alteração material. O Playbook NIST AI RMF fornece subcategorias concretas e exemplos de artefactos sob cada uma das quatro funções, e continua a ser o ponto de partida mais operacional para uma equipa que nunca tenha conduzido uma análise de riscos de IA estruturada.
Controlos e supervisão humana
Os controlos em tempo de conceção cobrem qualidade dos dados, segurança durante o treino e avaliações pré-lançamento. Os controlos em tempo de execução cobrem gestão de acessos, monitorização, deteção de deriva e superfícies de explicabilidade. O artigo 14.º do Regulamento torna a supervisão humana uma obrigação legal para os sistemas de alto risco e enumera medidas específicas que o fornecedor tem de viabilizar: funções de paragem, capacidade de invalidar uma saída e pessoas formadas capazes de compreender as capacidades e limites do sistema. Os controlos estendem-se também à segurança: o OWASP AI Exchange cataloga mais de 200 ameaças específicas de IA com os respetivos controlos, e o Secure AI Framework da Google (SAIF) resume seis elementos de engenharia a integrar no ciclo de desenvolvimento seguro de cargas de IA.
Evidências e rastreabilidade
É o pilar onde os programas de governação mais decepcionam. Os padrões esperam registos detalhados: proveniência dos dados de treino, resultados de avaliação, registos de alterações, relatórios de incidentes, processos de avaliação de conformidade e saídas da vigilância pós-comercialização. O Quadro multicamadas de boas práticas de cibersegurança para a IA da ENISA oferece um mapeamento útil dos tipos de evidência esperados por fase do ciclo de vida. A regra prática: se não conseguem reconstruir, em menos de um dia útil, porque é que um modelo tomou uma decisão concreta numa data concreta sobre um instantâneo de dados concreto, o vosso pilar de evidências não passa o teste de rastreabilidade do Regulamento.
Melhoria contínua
Derivas, atualizações regulatórias, retreinos, novos casos de uso: tudo isso obriga o dispositivo a evoluir. A ISO 42001 explicita as fases Check e Act do PDCA através de auditorias internas e revisões pela gestão. O NIST RMF integra a melhoria contínua na função Manage, com reavaliação periódica à medida que sistemas e contextos mudam. O Regulamento europeu formaliza-a através dos planos de vigilância pós-comercialização para os sistemas de alto risco, com um retorno de informação ao processo de avaliação de conformidade. É também o pilar que absorve as novas regulamentações: quando chegar o próximo perfil setorial ou uma nova lei nacional, o programa adapta-se no lugar em vez de recomeçar do zero.
Escolher o quadro certo: uma matriz de decisão
Os quadros são complementares, não concorrentes, mas cada organização precisa de uma coluna vertebral principal. A escolha segue o papel, a geografia e as expectativas dos clientes.
| A vossa situação | Quadro principal | Referências complementares |
|---|---|---|
| Fornecedor de IA de alto risco no mercado europeu | Regulamento europeu sobre IA | ISO/IEC 42001 (evidência certificável), NIST AI RMF (prática de engenharia) |
| Responsável pela aplicação UE de IA de alto risco (RH, crédito, seguros, educação) | Artigo 26.º do Regulamento europeu | Orientações OCDE de devida diligência, ISO 42001 |
| Fornecedor de modelo GPAI ou de modelo de fundação | Obrigações GPAI + Código de Conduta | Perfil NIST AI 600-1 GenAI |
| Empresa americana fora dos setores regulados | NIST AI RMF | ISO 42001 (confiança do cliente), Princípios OCDE |
| Operador de infraestrutura crítica (energia, água, transporte, telco) | NIST AI RMF + perfil CI (2026) | Regulamento europeu em caso de atividade transatlântica, linhas setoriais |
| Editor SaaS internacional | ISO/IEC 42001 (certificável) | NIST AI RMF, Regulamento europeu, adendos específicos por cliente |
| Instituição financeira regulada | Setorial (Banco de Portugal, EBA, OCC, MAS) + NIST RMF | Regulamento europeu se houver exposição UE, ISO 42001 |
A matriz obriga a uma decisão única: onde ancorar o modelo de evidências. Ancorem no Regulamento europeu se servem o mercado da União; a ativação dá-vos proteção regulatória e uma narrativa sólida para uma auditoria ISO 42001. Ancorem na ISO 42001 se precisam de uma atestação certificável e oponível a clientes; o certificado mapeia-se de forma limpa sobre as práticas NIST RMF e sobre grande parte do Regulamento, sem o substituir.
Modelo de maturidade: do documento à prova auditável
A maioria das organizações subestima a distância entre redigir uma política e operar um quadro. O modelo em cinco estádios que se segue é o que usamos na AI Sigil para tornar essa distância tangível. Estádio 0, Ad hoc. Sem inventário. A governação vive em apresentações e fios do Slack. Os casos de uso entram em produção sem análise de risco documentada. Artefactos típicos: nenhum. Estádio 1, Documentado. Existe uma política de IA, assinada por um patrocinador executivo. Foi construído um inventário estático uma vez. As categorias de risco estão definidas no papel. Artefactos típicos: documento de política, declaração de princípios, síntese de inventário para a direção. Estádio 2, Implementado. O inventário está vivo e é atualizado a cada novo sistema ou modificação. As análises de risco são realizadas antes do lançamento e conservadas. Existe um registo de controlos, mapeado em NIST RMF ou ISO 42001. Os requisitos de supervisão humana são explícitos. Artefactos típicos: registo vivo de modelos, avaliações de impacto sobre direitos fundamentais, registo de controlos, matriz de supervisão. Estádio 3, Medido. Indicadores de deriva, incidentes e viés são recolhidos automaticamente e revistos com cadência publicada. Os planos de vigilância pós-comercialização correm para os sistemas de alto risco. As evidências estão datadas e conservadas segundo os mínimos regulatórios. Artefactos típicos: dashboards de monitorização, registo de incidentes, relatórios de deriva, repositório de evidências com regras de retenção. Estádio 4, Auditado. Uma atestação externa (certificado ISO 42001, avaliação de conformidade europeia, auditoria setorial) confirma que o dispositivo funciona como foi desenhado. Os achados alimentam o próximo ciclo de planeamento. Artefactos típicos: certificado ISO 42001, processo de avaliação de conformidade, relatório de auditoria de terceiro, tracker de remediação, comparação anual. O verdadeiro teste para qualquer programa não é « temos um quadro » mas « qual é o estádio mais avançado que conseguimos defender com evidências dos últimos doze meses ». O estádio 2 é o mínimo realista para quem opera IA de alto risco na União após agosto de 2026. O estádio 3 é o nível que os reguladores vão esperar dos atores sérios até 2027. O estádio 4 é o diferenciador que decide concursos empresariais.
Armadilhas frequentes na implementação
Os quatro erros que arruínam a maioria dos projetos de quadro de governação da IA são previsíveis e evitáveis. Tratar o quadro como entregável documental pontual. Uma política de quarenta páginas sem inventário vivo, sem análises assinadas e sem monitorização continua a ser teatro. Auditores e reguladores pedem evidências, não prosa. Construam primeiro a camada operacional; a política vem a seguir. Saltar o lado do responsável pela aplicação do Regulamento europeu. As empresas que compram IA a fornecedores assumem que as obrigações ficam no fornecedor. O artigo 26.º diz o contrário. As obrigações do responsável pela aplicação sobre dados de entrada, retenção de logs, comunicação de incidentes e informação ao pessoal são independentes da postura de conformidade do fornecedor. Enxertar a governação no MLOps sem reescrever a gestão da mudança. A governação só aguenta se lançar um novo caso de uso exigir as mesmas portas de aprovação do que lançar um novo produto. Se a equipa de IA pode lançar um modelo com um ticket Jira enquanto a equipa de risco de crédito precisa do parecer do comité de risco, o pilar de governação colapsa no primeiro contacto com a realidade. Não renovar as evidências após atualizações do modelo. Cada retreino, fine-tuning ou alteração de prompt-modelo pode invalidar avaliações de conformidade e análises de risco anteriores. Integrem disparadores de atualização na pipeline MLOps para que as evidências envelheçam com o modelo, não contra ele.
Perguntas frequentes
O que é um quadro de governação da IA numa só frase? É o sistema operativo documentado com que uma organização identifica, avalia, controla e demonstra o uso responsável dos seus sistemas de IA ao longo do ciclo de vida, para poder provar perante um regulador, um auditor ou um cliente que a IA é governada, não apenas implantada. Que quadro de governação da IA implementar primeiro? Se servem o mercado europeu com IA de alto risco, ancorem no Regulamento europeu. Se vendem software à escala internacional e querem uma evidência certificável, ancorem na ISO/IEC 42001. Se operam nos Estados Unidos fora de setores regulados, ancorem no NIST AI RMF. Os restantes quadros passam então a referências complementares, em vez de colunas concorrentes. O NIST AI RMF é obrigatório? Não. O NIST AI RMF é voluntário. As agências federais e diversos setores regulados tratam-no, no entanto, como base de referência, e várias leis estaduais americanas (Colorado SB 24-205, regra de Nova Iorque sobre ferramentas automatizadas de decisão em emprego) retomam os conceitos do RMF. Quanto tempo leva a operacionalizar um quadro de governação da IA? Alcançar o estádio 2 (inventário vivo, avaliações assinadas, registo de controlos, matriz de supervisão) requer tipicamente quatro a nove meses para uma organização com 10 a 50 casos de uso de IA. Alcançar o estádio 3 (medição contínua, monitorização de deriva, planos pós-comercialização) acrescenta seis a doze meses. O estádio 4 (atestação externa) costuma chegar doze a dezoito meses depois de o estádio 3 estar consolidado. A certificação ISO 42001 cobre a conformidade com o Regulamento europeu? Não, mas a sobreposição é substancial. Deter a ISO 42001 demonstra que opera um sistema de gestão de IA credível, o que constitui prova de diligência perante o Regulamento. Não substitui as obrigações específicas do Regulamento (avaliação de conformidade para sistemas de alto risco, obrigações de transparência do artigo 50.º, requisitos do artigo 26.º do responsável pela aplicação, registo na base de dados da União). Quais são os cinco pilares da governação da IA? Inventário e classificação, avaliação de riscos e impactos, controlos e supervisão humana, evidências e rastreabilidade, melhoria contínua. Todo o quadro, norma ou regulamento credível converge nestes cinco elementos, mesmo quando as etiquetas diferem. As PME precisam de um quadro de governação da IA? Sim, se a empresa desenvolve, implanta ou se apoia de forma substancial na IA numa atividade regulada. O Regulamento europeu aplica-se independentemente da dimensão quando um sistema de alto risco cai no âmbito. A ISO/IEC 42001 está explicitamente concebida para se aplicar a organizações de qualquer dimensão, com a proporcionalidade integrada: a uma equipa de cinquenta pessoas não se exige o mesmo sistema de gestão de um grupo multinacional. O objetivo razoável para uma PME é o estádio 2: um inventário vivo, avaliações assinadas para os sistemas em operação, uma política curta e um registo de controlos talhado para os poucos casos de uso reais. Como se relacionam governação da IA, governação dos dados e gestão da segurança? Sobreposição e extensão. A governação dos dados traz qualidade, linhagem e gestão do consentimento, sobre os quais assenta a análise de riscos de IA. A gestão da segurança (ISO 27001, SOC 2) traz controlos de acesso e resposta a incidentes, sobre os quais assentam os controlos de IA. A governação da IA acrescenta a camada específica dos sistemas de IA: risco de modelo, viés, explicabilidade, supervisão humana, monitorização do ciclo de vida e evidências auditáveis esperadas pelos reguladores. Os programas maduros tratam ISO 27001 e ISO 42001 como irmãs, não como duplicados: a mesma coluna do sistema de gestão, perímetros distintos.
Conclusão
A conversa sobre quadros de governação amadureceu. A pergunta residual deixou de ser « que princípios subscrevemos » e passou a ser « que quadro operacionalizamos e em que prazo conseguimos provar que funciona ». Com a entrada em aplicação do Regulamento europeu em agosto de 2026, a expansão das certificações ISO 42001 e a multiplicação dos perfis NIST, as organizações que ganharem concursos, passarem auditorias e evitarem incidentes de primeira página serão aquelas que transformaram um quadro em operação viva e provada doze meses antes de serem obrigadas. É esta a falha de ativação que este artigo procura colmatar. Se quiserem ver como a AI Sigil mapeia as obrigações do NIST AI RMF, ISO 42001 e Regulamento europeu num modelo de evidências unificado, é exatamente a conversa que mantemos todas as semanas com as equipas de governação dos setores regulados.