Ir para o conteúdo
IAC Registro verificável
Verificar código

Editorial · Standards & Research

ISO/IEC 42001 e a acreditação de um sistema de gestão de IA

Em torno da ISO/IEC 42001 cresceu um ruído comercial sobre "certificação de IA" que convém ordenar. A norma define um sistema de gestão, não um selo técnico sobre um modelo. Esta leitura separa o que a 42001 exige, como é a cadeia de avaliação para IA e em que estado real está hoje sua acreditação.

Publicado 2026-06-17 International Accreditation Center Análise institucional

O que a 42001 resolve

A ISO/IEC 42001:2023 é a primeira norma internacional de sistema de gestão dedicada à inteligência artificial: um SGIA, sistema de gestão de IA. Não avalia um modelo concreto nem certifica que um algoritmo seja "seguro" ou "imparcial". Estabelece como uma organização governa, ao longo do tempo, o projeto, a aquisição, a implantação e o uso de seus sistemas de IA.

A distinção importa porque o ruído comercial a apaga. Uma organização não certifica sua IA: certifica que conta com um sistema para gerir os riscos e os impactos dessa IA, auditável contra requisitos. O objeto da avaliação é a organização e sua governança, não a peça tecnológica isolada. Essa é a diferença entre um sistema de gestão e um ensaio de produto.

A 42001 compartilha a estrutura de alto nível das demais normas de gestão ISO. Quem já opera sob ISO 9001 ou ISO/IEC 27001 reconhece o arcabouço: contexto, liderança, planejamento, apoio, operação, avaliação e melhoria. O que é específico de IA vive no Anexo A e nos conceitos próprios do domínio, como a avaliação de impacto dos sistemas de IA.

Uma organização não certifica sua IA: certifica que tem um sistema para governá-la, auditável contra requisitos.

A estrutura: cláusulas 4-10 e o Anexo A

Como todo sistema de gestão, a 42001 se organiza em cláusulas auditáveis, da 4 à 10. As três primeiras cláusulas são referências e termos; o conteúdo certificável começa na 4. Convém uma precisão que costuma confundir: a cláusula 8.4 é a avaliação de impacto dos sistemas de IA, não a supervisão humana, que pertence ao domínio de uso do Anexo A.

  1. 4 Contexto da organização

    Define o escopo do sistema de gestão de IA, as partes interessadas e os fatores internos e externos que condicionam o uso responsável da IA.

  2. 5 Liderança

    Exige comprometimento da direção, uma política de IA e a atribuição clara de papéis e responsabilidades sobre os sistemas de IA.

  3. 6 Planejamento

    Identifica riscos e oportunidades, fixa objetivos e articula a avaliação de riscos com a seleção de controles do Anexo A.

  4. 7 Apoio

    Abrange recursos, competência, conscientização, comunicação e informação documentada que sustentam o sistema.

  5. 8 Operação

    Leva o planejamento à prática. A cláusula 8.4 corresponde à avaliação de impacto dos sistemas de IA (AIIA), não à supervisão humana.

  6. 9 Avaliação de desempenho

    Define monitoramento, medição, auditoria interna e análise crítica pela direção do sistema de gestão.

  7. 10 Melhoria

    Ordena o fechamento do ciclo: 10.1 melhoria contínua e 10.2 não conformidade e ação corretiva.

O Anexo A reúne os controles específicos de IA que a organização seleciona conforme sua avaliação de riscos. Soma 38 controles organizados em 9 grupos. A contagem não é um detalhe ornamental: o escopo do sistema se constrói sobre quais controles se aplicam, quais se descartam e com que justificativa.

  1. A.2 Políticas de IA

    3 controles.

  2. A.3 Organização interna

    2 controles.

  3. A.4 Recursos para sistemas de IA

    5 controles.

  4. A.5 Avaliação de impactos dos sistemas de IA

    4 controles.

  5. A.6 Ciclo de vida do sistema de IA

    9 controles.

  6. A.7 Dados para sistemas de IA

    5 controles.

  7. A.8 Informação para as partes interessadas

    4 controles.

  8. A.9 Uso dos sistemas de IA

    3 controles.

  9. A.10 Relações com terceiros e clientes

    3 controles.

A cláusula 10 fecha o ciclo de melhoria em dois componentes: 10.1 melhoria contínua e 10.2 não conformidade e ação corretiva. A gestão da IA, como qualquer sistema de gestão, não se demonstra com um documento fundacional, mas com sua manutenção ao longo do tempo.

A cadeia de avaliação para IA

Que um certificado 42001 signifique algo depende da cadeia que o respalda. Essa cadeia tem três elos, cada um com sua norma de referência e sua função própria. O primeiro avalia a organização; o segundo, o organismo que a avalia; o terceiro sustenta o reconhecimento entre fronteiras.

  1. 01 Certificação da organização

    Um organismo de certificação audita o sistema de gestão de IA da organização contra a ISO/IEC 42001 e, se cabível, emite o certificado. A atividade é regida pela ISO/IEC 17021-1:2015, a norma de requisitos para organismos que certificam sistemas de gestão.

  2. 02 Acreditação do organismo

    Um organismo de acreditação avalia a competência técnica desse organismo de certificação dentro do escopo de IA. A acreditação de organismos é regida pela ISO/IEC 17011:2017. É o elo que sustenta a confiança no certificado emitido.

  3. 03 Reconhecimento internacional

    A cooperação internacional sustenta o reconhecimento mútuo entre organismos nacionais de acreditação. O IAF exerceu essa função até seu cessar, em 1º de janeiro de 2026; desde então esse nível está em transição.

O esquema é o mesmo que sustenta qualquer sistema de gestão certificável. A estrutura geral da cadeia —organismo de certificação, organismo nacional de acreditação, reconhecimento internacional— está desenvolvida em O mapa da confiança global 2026, que documenta o cessar do IAF e a transição do nível internacional. A norma de requisitos para certificar sistemas de gestão é a ISO/IEC 17021-1.

O estado real da acreditação 42001

Aqui convém a franqueza que o mercado evita. A norma 42001 existe e é auditável; a cadeia de acreditação que lhe dá reconhecimento internacional pleno ainda está em formação. Os esquemas de acreditação específicos para a 42001, os critérios setoriais e a competência dos auditores estão se consolidando, e avançam em ritmos distintos conforme o organismo nacional.

O resultado prático é que hoje coexistem certificados emitidos sob distintos graus de respaldo. Convém ler cada um por sua cadeia concreta —qual organismo certificou, sob qual acreditação, com qual escopo— antes que pela sigla da norma. A pergunta não é se a 42001 serve, mas o que sustenta um certificado 42001 específico.

42001 e o EU AI Act

A 42001 é uma norma voluntária de gestão; o Regulamento Europeu de IA é legislação obrigatória dentro de seu âmbito. Não são intercambiáveis. Um sistema de gestão bem implementado ordena evidência, processos e responsabilidades que ajudam a demonstrar conformidade regulatória, mas certificar a 42001 não equivale a cumprir o AI Act, nem o AI Act exige certificação 42001.

O calendário de aplicação do AI Act é relevante para o planejamento, com uma ressalva explícita: as datas foram modificadas pelo Digital Omnibus 2026, pendente de adoção formal. Por isso convém tratá-las como referência sujeita a confirmação, não como marcos fechados.

Calendário AI Act · sujeito ao Digital Omnibus 2026

2 de agosto de 2026
Obrigações de transparência (artigo 50) conforme o calendário vigente. Data modificada pelo Digital Omnibus 2026, pendente de adoção formal.
2 de dezembro de 2027
Sistemas de alto risco do Anexo III, conforme o calendário vigente e sujeito à mesma ressalva do Digital Omnibus.
2 de agosto de 2028
Sistemas de alto risco associados a produtos do Anexo I, conforme o calendário vigente e a mesma ressalva.

Como se preparar e como verificar

A preparação útil não começa pelo certificado, mas pelo diagnóstico. Uma organização que avalia a 42001 pode inventariar seus sistemas de IA, mapear seus impactos contra os grupos do Anexo A e revisar qual governança já existe sob outros sistemas de gestão. O projeto do sistema precede a auditoria; a auditoria não inventa o que a organização não fez.

Do lado de quem recebe um certificado 42001 —um comprador, uma área de compliance, um auditor de terceira parte— a verificação segue o circuito de qualquer certificado: identificar o organismo emissor, confirmar sua acreditação dentro do escopo de IA e contrastar o escopo declarado com a decisão concreta. O marco de governança de IA do IAC e seus critérios de evidência estão em /standards; qualquer credencial com código IAC se consulta em /verificar.

Da norma à evidência

A governança de IA se demonstra com evidência verificável.

A 42001 ordena o sistema; a verificação ordena a confiança. O marco de IA do IAC publica seus critérios de evidência, e qualquer credencial com código público se consulta sem intermediários.