O que os conselhos devem exigir da IA: avaliação, auditoria e garantia

Por Erika Fille T. Legara

NUM ARTIGO ANTERIOR da BusinessWorld, argumentei que a governação da IA vai além da supervisão de um punhado de projetos tecnológicos e agora abrange garantir que as decisões impulsionadas por IA em toda a organização permaneçam alinhadas com a estratégia, apetite pelo risco e padrões éticos. Uma questão natural subsequente para os conselhos é: além de estabelecer expectativas, como é que uma organização verifica que os seus sistemas de IA estão realmente a desempenhar-se conforme pretendido, de forma responsável e dentro de limites definidos?

A resposta reside em três disciplinas relacionadas mas distintas: avaliação de risco de IA, auditoria de IA e garantia de IA. Os conselhos familiarizados com a supervisão financeira acharão a lógica intuitiva. O desafio, e a oportunidade, é aplicar essa mesma disciplina à IA.

3 CONCEITOS DISTINTOS MAS RELACIONADOS
Ajuda ser preciso sobre o que cada termo significa, porque são frequentemente usados de forma intercambiável quando não deveriam ser.

A avaliação de risco de IA é o processo interno pelo qual uma organização identifica, avalia e prioriza os riscos associados aos seus sistemas de IA. Questiona o que pode correr mal, quão provável é, e qual seria o impacto. Esta é a fundação sobre a qual tudo o resto assenta. Sem uma avaliação de risco credível, nem a auditoria nem a garantia têm uma base significativa para trabalhar. Sistemas de IA materiais existem em todos os setores: um modelo de pontuação de crédito num banco, uma ferramenta de triagem de pacientes num hospital, um preditor de desempenho de estudantes numa universidade, um sistema de priorização de casos numa agência governamental. O que partilham é a consequência, que inclui resultados que afetam pessoas reais de formas significativas.

Para qualquer sistema desse tipo, a avaliação de risco deve ser sistemática, documentada e revisitada regularmente à medida que o modelo evolui e o ambiente operacional muda.

A auditoria de IA é o exame independente de se um sistema de IA, ou a estrutura de governação que o rodeia, está conforme com normas, políticas ou requisitos definidos. É um processo baseado em evidências conduzido por uma parte suficientemente independente dos responsáveis pelo sistema em análise. Uma auditoria de IA pode avaliar se as práticas de gestão de IA de uma organização estão conformes com uma norma internacionalmente reconhecida, como a ISO/IEC 42001, a primeira norma mundial de sistema de gestão de IA publicada em 2023, ou se um modelo específico está a desempenhar-se dentro de parâmetros aprovados e sem viés não intencional. Importante, a norma que rege os próprios auditores, ISO/IEC 42006, publicada em julho de 2025, estabelece agora a competência e o rigor exigidos aos organismos que auditam e certificam sistemas de gestão de IA. A profissão de auditoria, por outras palavras, está a começar a formalizar a sua própria responsabilização para compromissos de IA.

A garantia de IA é a conclusão formal, voltada para as partes interessadas, que emerge desse processo de auditoria. É a opinião profissional, emitida por uma parte qualificada e independente, que dá aos conselhos, reguladores, investidores e ao público confiança de que um sistema de IA ou estrutura de gestão de IA cumpre uma norma definida. A garantia é o que transforma uma revisão interna num sinal externo credível.

FUNDAMENTAR A GARANTIA DE IA
O conceito de garantia independente não é novo para os conselhos. Todos os anos, auditores externos examinam as demonstrações financeiras de uma organização e emitem uma opinião; uma conclusão fundamentada em evidências, conduzida sob normas internacionalmente reconhecidas, e sustentada pela independência profissional do auditor. Essa opinião tem peso precisamente porque a estrutura que a rege é rigorosa e bem estabelecida. Esta lógica aplica-se independentemente da indústria; seja a organização um banco, um hospital, um conglomerado ou uma instituição pública, a auditoria financeira é um mecanismo familiar e confiável.

A mesma lógica aplica-se agora à IA. Quando uma organização faz uma declaração pública ou regulatória sobre os seus sistemas de IA, que são justos, transparentes, conformes com uma norma definida, ou livres de viés material, a questão é: quem valida independentemente essa afirmação, e sob que estrutura profissional?

A resposta, para a profissão de contabilidade e auditoria, é a ISAE 3000, a Norma Internacional sobre Compromissos de Garantia emitida pelo Conselho Internacional de Normas de Auditoria e Garantia (IAASB). A ISAE 3000 rege compromissos de garantia sobre assuntos que não sejam informação financeira histórica, tornando-a o lar natural para a garantia de IA. Sob esta norma, um profissional pode conduzir ou um compromisso de garantia razoável, a norma mais alta análoga a uma auditoria financeira, ou um compromisso de garantia limitada, que é mais próximo em profundidade de uma revisão. A escolha do nível importa e deve ser deliberada, calibrada à materialidade e risco do sistema de IA em questão.

Um paralelo contemporâneo próximo é a garantia de sustentabilidade ou ESG. Muitas empresas filipinas cotadas já estão a encomendar garantia independente sobre as suas divulgações de sustentabilidade, frequentemente sob ISAE 3000. A mecânica é exatamente a mesma: um profissional independente examina um conjunto de afirmações contra critérios definidos e emite uma conclusão formal. O assunto difere; a disciplina profissional não.

O QUE ISTO SIGNIFICA PARA OS CONSELHOS
Três implicações práticas seguem desta estrutura.

Primeiro, os conselhos devem perguntar se as suas organizações conduziram avaliações de risco de IA rigorosas em sistemas materiais. Não um exercício único, mas um processo vivo que é atualizado à medida que os modelos são retreinados, os casos de uso se expandem, e o ambiente regulatório evolui. A qualidade do trabalho de auditoria e garantia subsequente é apenas tão boa quanto a avaliação de risco que a precede.

Segundo, os conselhos devem distinguir entre auditoria de IA interna e externa. As funções de auditoria interna desempenham um papel crítico em fornecer garantia de que os controlos de IA operam conforme concebido. No entanto, os conselhos devem também considerar se uma auditoria independente de terceiros de sistemas de IA materiais é justificada, particularmente para sistemas que afetam clientes, funcionários ou o público de formas consequentes. Tal como na auditoria financeira, a independência fortalece a credibilidade.

Terceiro, à medida que as organizações fazem cada vez mais compromissos públicos sobre as suas práticas de IA aos reguladores, investidores e às comunidades que servem, os conselhos devem perguntar se esses compromissos são apoiados por garantia credível. Afirmações sem validação independente são, na melhor das hipóteses, um risco reputacional à espera de se materializar.

UMA PROFISSÃO AINDA A CONSTRUIR AS SUAS CAPACIDADES
Seria incompleto apresentar esta paisagem sem reconhecer as suas limitações atuais. A infraestrutura para garantia de IA ainda está a ser construída. As normas profissionais estão a emergir. As competências dos auditores em IA, abrangendo aprendizagem automática, viés algorítmico, governação de dados e transparência de modelos, ainda não estão uniformemente desenvolvidas em toda a profissão. A ISAE 3000 fornece a estrutura de garantia, mas as metodologias específicas de IA que se situam dentro dela ainda estão a amadurecer.

Para organizações ainda não prontas para prosseguir com garantia formal, isto não é uma razão para permanecer parado. Uma avaliação estruturada e regular de sistemas de IA materiais é um primeiro passo significativo e prático. Constrói a disciplina interna, documentação e hábitos de governação que a prontidão para garantia eventualmente requer. Os conselhos que encomendam tais avaliações hoje, mesmo informalmente, estão a desenvolver músculo institucional que importará quando as expectativas regulatórias endurecerem e o escrutínio das partes interessadas se intensificar.

Esta visão é uma que explorei mais profundamente em investigação que tenho vindo a desenvolver com colegas examinando a governação de IA gerativa em economias onde a regulação ainda não alcançou a tecnologia. O argumento central é que as empresas já são agentes morais com obrigações éticas existentes para com as suas partes interessadas; esperar por legislação de IA sob medida não é necessário nem suficiente para governação responsável. A obrigação de agir já está lá. O que é necessário é a vontade organizacional de a operacionalizar.

Isto não é uma razão para os conselhos esperarem pela agenda mais ampla. É uma razão para fazer perguntas informadas agora, aos seus auditores externos, às suas funções de auditoria interna e às suas equipas de gestão, para que quando as capacidades da profissão alcancem a procura, as suas organizações estejam prontas para se envolver significativamente.

A auditoria financeira não emergiu totalmente formada. Levou décadas de estabelecimento de normas, desenvolvimento profissional e lições duras de falhas corporativas para a auditoria independente se tornar a instituição credível que é hoje. A garantia de IA está num ponto de inflexão inicial comparável. Os conselhos que se envolvem com ela agora, fazem perguntas mais afiadas aos seus auditores, exigem mais do que afirmações de gestão, e constroem capacidades internas antes que os reguladores os exijam, não só reduzirão a sua própria exposição. Ajudarão a moldar como se parece a responsabilização responsável de IA para organizações filipinas e a região mais ampla.

Erika Fille T. Legara é física, educadora e profissional de ciência de dados e IA trabalhando em governo, academia e indústria. É a diretora inaugural e diretora de IA e dados do Education Center for AI Research, e professora associada e presidente Aboitiz em Ciência de Dados no Asian Institute of Management, onde fundou e liderou o primeiro programa de MSc em Ciência de Dados do país de 2017 a 2024. Serve em conselhos corporativos, é membro do Institute of Corporate Directors, uma Profissional Certificada em Governação de IA da IAPP, e cofundadora da CorteX Innovations.