Normas ISO para gerenciamento de riscos em inteligência artificial
A Inteligência Artificial (IA) está remodelando os fundamentos da economia, da governança e da vida cotidiana. De diagnósticos médicos automatizados a algoritmos que definem o acesso ao crédito ou a decisões judiciais, o potencial transformador da IA é imenso. Mas com esse potencial vêm riscos complexos: vieses algorítmicos, falta de transparência, impactos sociais imprevistos, falhas técnicas e dilemas éticos que desafiam as estruturas tradicionais de responsabilidade.
Diante desse cenário, as normas internacionais ISO representam uma resposta articulada, estruturada e voltada para o futuro. Elas não são apenas diretrizes técnicas, mas os fundamentos da governança que possibilitam a criação de uma IA confiável, com rastreabilidade, ética e foco nos direitos humanos.

Principais fundamentos da política
ISO/IEC 23894:2023. Gerenciamento de riscos em sistemas de IA
É o padrão mais específico do conjunto. Ela estabelece diretrizes para identificar, avaliar e tratar os riscos exclusivos dos sistemas de AI, desde o projeto até a desativação. Ela se baseia em uma abordagem de ciclo de vida, permitindo que o gerenciamento de riscos seja adaptado às diferentes fases: desenvolvimento, treinamento, implementação e desativação.
🔍 Valor diferencial: Considera riscos técnicos, bem como éticos e sociais, e introduz o conceito de "risco emergente", fundamental em tecnologias não determinísticas.
ISO 31000:2018. Gerenciamento de riscos para todos os tipos de organizações
É a base sobre a qual outros padrões mais específicos são construídos. Ela define princípios, estrutura e processos que permitem que o gerenciamento de riscos seja integrado à cultura organizacional. O padrão enfatiza a importância da liderança, da comunicação eficaz e da melhoria contínua.
🔍 Valor diferencial: Permite o estabelecimento de um sistema robusto de gerenciamento de riscos que pode ser adaptado à complexidade da IA sem perder a coerência institucional.
Guia ISO 73:2009. Vocabulário de gerenciamento de riscos
Este guia funciona como um dicionário normativo. Ele unifica a terminologia usada em diferentes padrões de gerenciamento de riscos, evitando mal-entendidos e melhorando a interoperabilidade entre setores, equipes técnicas e estruturas regulatórias.
🔍 Valor diferencial: Garante que conceitos como "evento", "probabilidade", "impacto" ou "controle" tenham o mesmo significado em todo o ecossistema de governança.
ISO/IEC 22989:2022 (ISO/IEC 22989:2022). Terminologia fundamental em AI
É o ponto de partida para entender o que é um sistema de IA. Define conceitos como aprendizado supervisionado e não supervisionado, agentes autônomos, raciocínio simbólico, redes neurais etc. Estabelece uma taxonomia para classificar as tecnologias e harmonizar seu uso.
🔍 Valor diferencial: Favorece a interoperabilidade técnica e regulatória, evitando ambiguidades que afetam o gerenciamento de riscos.
ISO/IEC 42005:2025. Avaliação do impacto social e ético
Esse padrão representa um passo à frente na governança algorítmica. Ela fornece diretrizes para avaliar como um sistema de IA pode afetar indivíduos, coletivos e sociedades. Apresenta ferramentas para analisar os impactos sobre os direitos fundamentais, a inclusão, a equidade e a segurança.
🔍 Valor diferencial: Conecta tecnologia e dignidade humana. Incorpora mecanismos de transparência, rastreabilidade e documentação de decisões.
ISO/IEC 42001:2023. Sistema de gerenciamento de IA (IAMS)
A primeira norma internacional que define os requisitos para a implementação de um sistema de gerenciamento de AI em qualquer organização. Aborda aspectos como responsabilidade, auditoria, prestação de contas, eficiência e melhoria contínua.
🔍 Valor diferencial: Equivalente à "ISO 9001" da IA: cria uma estrutura auditável e replicável para organizações que desenvolvem ou usam IA.
Sinergia regulatória: um sistema interconectado
Esses padrões não devem ser vistos isoladamente. Elas funcionam como um ecossistema regulatório:
- ISO/IEC 23894 é baseada na ISO 31000 para sua abordagem de risco.
- Usa a linguagem comum do Guia 73 e da ISO/IEC 22989.
- ISO/IEC 42005 estende a análise ao impacto social e ético.
- ISO/IEC 42001 permite que todos os itens acima sejam integrados em um sistema de gerenciamento estruturado.
Esse entrelaçamento assegura a coerência, evita a duplicação e garante que os princípios de justiça, transparência e governança responsável estejam presentes em toda a cadeia de valor da IA.

Aplicações práticas
A implementação desses padrões não é um exercício burocrático, mas uma ferramenta estratégica para:
- Detectar e atenuar vieses algorítmicos
- Prevenir violações de segurança ou ataques adversários
- Promover a aceitação pública aceitação e confiança do público
- Responder aos reguladores com provas documentais
- Fortalecimento da ética institucional
- Preparar as organizações para futuras regulamentações obrigatórias, como a Lei de IA da UE.
Conclusão: rumo a uma IA confiável e humana
As normas ISO não são receitas únicas para todos, mas diretrizes flexíveis que permitem adaptar a governança da IA ao contexto setorial, cultural e regulatório. Aplicá-las de forma abrangente melhora não apenas a qualidade dos sistemas de IA, mas também a confiança das pessoas e sociedades que os utilizam.
Investir em padrões é investir em confiança, segurança e no futuro.
Perguntas frequentes:
O que é a ISO/IEC 23894:2023 e para que ela serve em IA?
A ISO/IEC 23894:2023 fornece diretrizes para o gerenciamento de riscos em sistemas de Inteligência Artificial. Ela abrange todo o ciclo de vida do sistema, desde o projeto até o descomissionamento, e integra o gerenciamento de riscos técnicos, éticos e sociais. Ela é fundamental para garantir uma IA segura, confiável e responsável.
O que a ISO 31000:2018 estabelece no contexto da AI?
A ISO 31000:2018 define princípios e uma abordagem sistemática para gerenciar qualquer tipo de risco em uma organização. Embora não seja exclusivamente focada em IA, ela serve como base para a estruturação de sistemas de governança robustos para riscos de tecnologia, incluindo aqueles decorrentes de algoritmos e automação.
Qual é a função da ISO Guide 73:2009?
O ISO Guide 73:2009 padroniza a terminologia do gerenciamento de riscos. Ele define conceitos-chave como "risco", "impacto", "controle" e "probabilidade", permitindo que as organizações falem uma linguagem comum em seus processos de avaliação e mitigação de riscos.
O que a ISO/IEC 22989:2022 traz para o desenvolvimento da IA?
A ISO/IEC 22989:2022 estabelece os conceitos fundamentais da Inteligência Artificial, como aprendizado de máquina, raciocínio simbólico, redes neurais ou agentes autônomos. Ela é essencial para alcançar a interoperabilidade entre desenvolvedores, reguladores e setores da indústria.
O que é a ISO/IEC 42005:2025 e o que a torna inovadora?
A ISO/IEC 42005:2025 é uma norma recente que orienta a avaliação dos impactos sociais, éticos e humanos dos sistemas de IA. Ela define como identificar, documentar e atenuar efeitos como discriminação algorítmica, exclusão digital ou opacidade de decisão.
O que a ISO/IEC 42001:2023 regulamenta?
A ISO/IEC 42001:2023 é a primeira norma internacional para sistemas de gerenciamento de AI. Ela fornece uma estrutura estruturada para estabelecer, implementar, manter e aprimorar um sistema de gerenciamento de AI (IAMS), considerando a ética, a rastreabilidade, a transparência e o aprimoramento contínuo.
As normas ISO de AI podem ser aplicadas em conjunto?
Sim, as normas ISO para IA foram projetadas para serem complementares. Por exemplo, a ISO/IEC 23894 se baseia nos princípios da ISO 31000, usa o vocabulário do ISO Guide 73, incorpora os conceitos técnicos da ISO 22989 e se integra à estrutura de gerenciamento definida pela ISO/IEC 42001. A ISO/IEC 42005 acrescenta a dimensão ética e social a esse ecossistema de normas.
Por que aplicar as normas ISO em projetos de Inteligência Artificial?
A aplicação das normas ISO em IA permite antecipar riscos, aumentar a confiança do público, cumprir regulamentações futuras (como a Lei Europeia de IA), documentar processos éticos, mitigar vieses algorítmicos e estruturar decisões automatizadas sob princípios de transparência e justiça.
Como as normas ISO contribuem para o desenvolvimento ético da IA?
As normas ISO incorporam princípios como justiça, segurança, transparência, responsabilidade e inclusão. Elas orientam as organizações a alinhar o desenvolvimento tecnológico com os direitos humanos e os valores sociais, garantindo que a IA beneficie a sociedade como um todo.
Quais organizações podem implementar a ISO/IEC 42001?
Qualquer organização pública ou privada que desenvolva, use ou gerencie sistemas de Inteligência Artificial pode implementar a ISO/IEC 42001. Ela é aplicável a todos os setores, desde saúde e bancos até governos, universidades ou empresas de tecnologia.
Mais informações sobre a norma ISO 31000
Assista ao nosso webinar sobre Como usar a Inteligência Artificial na área de Compliance
BLOG: artigos práticos para líderes responsáveis

A PetroShore Compliance reafirma seu compromisso com os ODSs no 10º aniversário da Agenda 2030
A PetroShore Compliance reforça seu compromisso com os ODSs ao participar da campanha #ODSforFlag. A empresa está comprometida com uma estratégia sustentável alinhada com a Agenda 2030.

Independent Whistleblower Protection Authority: O que é a I.I.P.A. e como ela afeta sua empresa?
O I.P.I.A. entrará em vigor em 2025 e exige canais de comunicação eficazes. As empresas devem se adaptar agora à Lei 2/2023 para evitar sanções.

Boas práticas em políticas, padrões e controle interno: fundamentos essenciais para a integridade corporativa
Explore os fundamentos essenciais de um sistema de controle interno eficaz. Saiba como alinhar padrões e políticas com as práticas recomendadas internacionais.

PetroShore Compliance participa do desenvolvimento do novo padrão IRMA
A PetroShore Compliance entra para o comitê técnico do padrão IRMA, com a Dra. Andrea Moreno como consultora internacional. Um passo firme rumo à excelência em mineração responsável.