Vera Oliveira
A Inteligência Artificial (IA) está a tornar-se um elemento central na transformação digital das organizações, com impacto direto na eficiência operacional, na tomada de decisão e na criação de vantagem competitiva. Segundo o relatório State of AI da McKinsey & Company, 78 % das empresas afirmam que em 2024 já utilizam IA em pelo menos uma função de negócio, um valor que representa um salto significativo face aos 55 % registados no ano anterior (2023). No entanto, este crescimento traz consigo novos riscos operacionais, legais, reputacionais e éticos, tornando essencial a adoção de um modelo estruturado de governação e gestão de risco.
Neste contexto, a norma ISO/IEC 23894:2023 surge como um referencial fundamental para apoiar as organizações na identificação, avaliação e mitigação dos riscos associados à IA. Complementando a ISO/IEC 42001, que define os requisitos para um Sistema de Gestão de IA (SGIA), a ISO/IEC 23894 adapta os princípios da ISO 31000 ao contexto específico da IA permitindo gerir riscos ao longo de todo o ciclo de vida dos sistemas.
A relevância desta abordagem é evidente quando se considera que uma parte significativa dos projetos de IA enfrenta desafios relacionados com qualidade de dados, enviesamento, falta de transparência ou fragilidade operacional. Estes fatores podem comprometer a fiabilidade das decisões, gerar riscos de não conformidade e impactar diretamente a confiança de clientes e stakeholders. A ISO/IEC 23894 permite às organizações avaliar estes riscos de forma estruturada, considerando a probabilidade de ocorrência, o impacto no negócio e a eficácia dos controlos existentes.
Entre os principais domínios de risco destacam-se a qualidade e integridade dos dados, a aplicabilidade dos modelos, a robustez dos sistemas, a segurança da informação e os impactos éticos e reputacionais. Ao estabelecer uma abordagem consistente para gerir estes riscos, a norma contribui para melhorar a fiabilidade dos sistemas de IA e reduzir a exposição a falhas operacionais ou incidentes de conformidade.
A implementação desta norma, integrada com um SGIA baseado na ISO/IEC 42001, permite criar um modelo de governação de IA alinhado com as prioridades estratégicas da organização. Este processo começa com a identificação e inventário dos sistemas de IA, seguido de avaliações de risco estruturadas que suportam decisões informadas sobre controlos, monitorização e melhoria contínua. Como resultado, as organizações passam de uma abordagem reativa para um modelo proativo, baseado em prevenção e gestão sistemática do risco.
Este enquadramento assume particular relevância no contexto do Regulamento Europeu da Inteligência Artificial (EU AI Act), que introduz requisitos rigorosos para sistemas classificados como de alto risco, incluindo obrigações de gestão de risco, documentação, rastreabilidade e supervisão. As normas ISO/IEC 42001 e ISO/IEC 23894 fornecem uma base prática e reconhecida internacionalmente para apoiar a conformidade com estes requisitos, reduzindo o risco regulatório e facilitando auditorias e processos de certificação.
Para além da conformidade, a gestão estruturada do risco em IA contribui diretamente para o desempenho organizacional. Organizações com práticas maduras de governação tecnológica conseguem reduzir incidentes operacionais, melhorar a qualidade dos sistemas e aumentar a confiança dos stakeholders. Adicionalmente, promovem maior alinhamento entre equipas técnicas, áreas de negócio e funções de compliance, reforçando a integração da IA na estratégia empresarial.
A gestão de risco em IA deve ser encarada como um facilitador estratégico e não apenas como uma obrigação de conformidade. A adoção da ISO/IEC 23894, em conjunto com a ISO/IEC 42001, permite às organizações implementar um modelo estruturado de governação que promove transparência, controlo e confiança. Num contexto de crescente adoção e escrutínio regulatório, a capacidade de gerir a IA de forma responsável será um fator determinante para garantir inovação sustentável, conformidade e vantagem competitiva.
Vera Oliveira é Senior Information Security Consultant, Devoteam
