Era uma vez um belo dia em que o “AI governance de fachada” não segurou uma crise (Parte 2 – o que mudou depois)

Na Parte 1, a história parou no momento em que a organização descobriu que tinha certificações, políticas e um comitê de IA, mas não tinha trilha técnica nem AI system impact assessment estruturado para explicar decisões contestadas. Faltava um sistema de gestão de IA vivo, alinhado às boas práticas.A “reforma da casa” começou pelos logs. Em vez de depender apenas de métricas de infraestrutura e acesso genérico, o time passou a registrar eventos de IA alinhados ao anexo de 42001 sobre ciclo de vida: entradas relevantes para decisão, saídas do modelo, indicação de quando a decisão foi automatizada ou revisada por humano, versão de modelo e de dados, além de erros e anomalias em produção. Isso permitiu que a gestão de riscos de IA, orientada por 23894, deixasse de ser abstrata e passasse a trabalhar com evidências concretas.

Em paralelo, o AI system impact assessment deixou de ser uma ideia genérica e passou a seguir o roteiro de AIIIA: escopo claro do sistema, usos pretendidos, usos não pretendidos e “reasonably foreseeable misuse”, dados e sua qualidade, impactos possíveis em indivíduos, grupos e sociedade, medidas para tratar danos e benefícios. Esses elementos foram integrados ao sistema de gestão de IA (42001) e ao processo de risco, em vez de ficar isolados em um documento único.

A resposta a incidentes também mudou. A organização passou a tratar incidentes envolvendo IA dentro da estrutura de 27035‑3: detecção, reporte, triagem, análise, resposta, recuperação e lições aprendidas. Isso incluiu definir sinais específicos de incidente de IA (por exemplo, aumento de reclamações, padrões de decisão fora do esperado, alertas de desempenho), quem avalia, quem decide interromper ou restringir o uso e como essas informações voltam para ajustes de modelo, dados e controles.

Por fim, vieram as métricas. Inspirada na 42001 e 23894, a organização passou a acompanhar indicadores como: % de sistemas de IA com AI system impact assessment atualizado, tempo de detecção e resposta a incidentes de IA, n° de decisões revertidas após revisão humana, volume de incidentes de IA registrados em relação ao total de incidentes de segurança e proporção de sistemas de IA com logs completos auditados internamente.
Esses dados entraram na revisão de direção do sistema de gestão de IA e do programa de risco mais amplo.

Na prática, o que diferenciou a segunda crise da primeira não foi um slide novo de “governança de IA”, mas a combinação de AIMS (ISO42001), gestão de riscos de IA (ISO23894), AI system impact assessment (ISO42005), gestão de incidentes (ISO27035‑3) e privacidade (27701) operando juntos.

Hoje, se você precisasse reconstruir a história de uma decisão crítica tomada por IA na sua organização, conseguiria contar essa história com evidências ou só com uma narrativa bem-intencionada?

Pena que não vida real não é bem assim..