Governança de Inteligência Artificial

Portal documental — Arquitetura mínima de conformidade e governança algorítmica

Diocélio Dornela Goulart, PhD em Administração • Edição 2026 • Versão 1.0

8Instrumentos interativos
5Camadas documentais
7Frameworks normativos
PT/ESIdiomas suportados

Por que governar Inteligência Artificial

A governança de IA não se reduz à edição de uma política única: requer uma arquitetura documental coerente que articule estratégia, estrutura decisória, conduta cotidiana, procedimentos técnicos e registros vivos.

Organizações que tratam IA como ativo material precisam responder, em momentos distintos, a perguntas distintas. Quem decide sobre o portfólio de IA? Como cada colaborador deve usar ferramentas algorítmicas no exercício profissional? Que sistemas estão em produção e qual seu nível de risco? Como aprovar, monitorar e descontinuar modelos? Cada pergunta pertence a um instrumento documental específico. Confundi-los gera o que Bietti (2020) denominou ethics washing — declarações de princípios sem mecanismos de execução verificáveis.

Este portal organiza oito instrumentos interativos cobrindo a arquitetura documental mínima recomendada pela literatura e exigida, em parte, pelo Regulamento (UE) 2024/1689 (EU AI Act), pela norma ISO/IEC 42001:2023, pelo NIST AI Risk Management Framework 1.0 (2023) e pela legislação brasileira aplicável (LGPD; PL 2338/2023). Os instrumentos dividem-se em duas grandes categorias: Governança de IA, contendo os instrumentos macro-normativos que constituem regras e estruturas; e IA Checklist, contendo os instrumentos operacionais aplicados por sistema ou processo.

Cada instrumento é entregue como HTML auto-contido, com formulário de preenchimento, exemplos pré-povoados e geração de documento renderizado para impressão em PDF. Os campos não preenchidos aparecem marcados como [PREENCHER]; cláusulas dependentes de interpretação jurídica trazem a marcação sujeito a validação jurídica.

Arquitetura Documental em Cinco Camadas

Do estratégico ao operacional: como os oito instrumentos se articulam para sustentar a governança de IA

Arquitetura documental da governança de IA Diagrama representando cinco camadas verticais: estratégica, constitutiva, normativo-operacional, procedural e de registro. Cada camada contém um ou mais instrumentos documentais. CAMADA 1 Estratégica "o que orientamos" Política de Governança de IA Declaração principiológica que estabelece compromissos com supervisão humana, fairness, transparência, segurança e finalidade legítima. Ancora-se em OECD, UNESCO, EU AI Act, NIST. CAMADA 2 Constitutiva "quem decide" Estatuto do Comitê de IA Ato constitutivo do órgão de governança. Define natureza, composição, competências (deliberativas, consultivas, recomendatórias), quórum, mandato, integridade. Análogo ao art. 161-A da Lei das S.A. CAMADA 3 Normativo-Operacional "como cada um age" Política de Uso Aceitável de IA (PUA) Regras de conduta para colaboradores, gestores e terceiros. Categorias permitidos / condicionados / proibidos, allowlist de ferramentas, vedação ao shadow AI, Termo de Aceite individual. CAMADA 4 Procedural "como o trabalho flui" Matriz RACI Atribuição de papéis no ciclo de vida R / A / C / I por decisão SOPs de MLOps Quatro procedimentos do ciclo de vida Desenvolvimento → Validação → Go-live → Operação CAMADA 5 Registro & Avaliação "o que sabemos" Inventário de Sistemas AI Use-Case Registry Cadastro centralizado por sistema DPIA/RIPD + FRIA Avaliação de impacto integrada LGPD + GDPR + EU AI Act Matriz de Riscos NIST Govern / Map / Measure / Manage Cálculo P×I dinâmico
Camada Estratégica Orienta o que a organização compromete-se a fazer com IA. Aprovação por Diretoria ou Conselho.
Camada Constitutiva Cria e dimensiona o órgão de governança. Pode requerer Assembleia em S.A. (validação jurídica).
Camada Normativo-Operacional Disciplina cotidiana de colaboradores. Termo de Aceite individual.
Camada Procedural Define fluxos e responsabilidades por atividade. Atualização periódica pelo Comitê.
Camada de Registro Documenta o portfólio, os impactos e os riscos. Atualização contínua, base para auditoria.
Categoria 1 — Macro

Governança de IA

Instrumentos macro-normativos que constituem regras, estruturas e princípios. Aprovados pela alta administração. Servem como referência permanente para todos os instrumentos operacionais.

Camada 1 — Estratégica

Política de Governança de IA

10 dimensões 99 itens PT / ES Bilíngue

Diagnóstico estruturado de aderência aos frameworks internacionais de governança algorítmica. Cobre dez dimensões: princípios éticos, governança e papéis, classificação de risco e inventário, gestão de dados, ciclo de vida do modelo, transparência e explicabilidade, segurança e robustez, direitos humanos e supervisão humana, fornecedores e cadeia de IA, monitoramento e auditoria. Para cada item, o gestor marca aplicável, a implementar ou não aplicável; o sistema gera a política consolidada com plano de implementação para gaps e registro de exceções.

Frameworks: EU AI Act (Reg. UE 2024/1689); ISO/IEC 42001:2023; NIST AI RMF 1.0; OECD AI Principles (2024); UNESCO (2021); LGPD; PL 2338/2023.
Abrir instrumento →
Camada 2 — Constitutiva

Estatuto do Comitê de IA

18 artigos 7 capítulos PT / ES Bilíngue

Ato constitutivo do órgão de governança de IA, estruturado conforme convenção brasileira de redação societária (Capítulo → Artigo → Parágrafo → Inciso). Define natureza (estatutário, não-estatutário ou assessor), composição e mandato dos membros, competências tripartites (deliberativas, consultivas, recomendatórias), regras de quórum e funcionamento, secretaria executiva, regime de sigilo, interfaces com DPO/CISO/TI/Compliance, recursos, conflitos de interesse, avaliação de desempenho, vigência e dissolução. Inclui considerandos, espaço para assinaturas e Anexo I com resumo operacional.

Frameworks: ISO/IEC 42001:2023 §5.1, §5.3, §9.3; NIST AI RMF Govern 1 e 2; EU AI Act art. 26; Código IBGC (2023); Lei nº 6.404/1976 art. 161-A (analogia, sujeito a validação jurídica).
Abrir instrumento →
Camada 3 — Normativo-Operacional

Política de Uso Aceitável de IA

16 seções Termo de Aceite PT / ES Resumo de Bolso

Instrumento normativo voltado a colaboradores, gestores e terceiros, disciplinando o uso cotidiano de ferramentas algorítmicas no exercício profissional. Estrutura-se em dezesseis seções, incluindo objetivo e escopo, definições, princípios, papéis e responsabilidades, conduta categorizada em usos permitidos / condicionados / proibidos, allowlist e blocklist de ferramentas, classificação de informação, regras de dados sensíveis, segurança e contas corporativas, transparência, treinamento, monitoramento, gestão de incidentes, sanções graduadas conforme CLT (sujeito a validação jurídica), vigência e Termo de Aceite individualizado. Acompanha Resumo de Bolso de uma página para divulgação interna.

Frameworks: ISO/IEC 42001:2023; ISO/IEC 27001:2022; NIST AI RMF 1.0; EU AI Act art. 50; LGPD art. 6º, 7º, 11, 18 e 20.
Abrir instrumento →
Categoria 2 — Operacional

IA Checklist

Instrumentos operacionais aplicados por sistema, processo ou ciclo de revisão. Materializam, no plano técnico-procedural, os compromissos firmados na camada de Governança de IA. Cada instrumento gera artefatos auditáveis com calibragem específica por contexto.

Camada 4 — Procedural

Matriz RACI de Papéis e Responsabilidades

10 decisões 8 papéis Editável PT

Atribuição estruturada de Responsável (R), Aprovador (A), Consultado (C) e Informado (I) para cada decisão do ciclo de vida de um sistema de IA. Pré-povoada com dez decisões críticas (da definição de política à descontinuação) e oito papéis típicos (Patrocinador, Comitê, DPO, Líder de Negócio, Equipe técnica, Segurança, Jurídico, Auditoria Interna), todos editáveis. Cada linha respeita a regra clássica de Aprovador único, com geração de documento normativo para emissão oficial.

Frameworks: ISO/IEC 42001:2023 cláusula 5.3 (Papéis, responsabilidades e autoridades organizacionais); NIST AI RMF 1.0 (2023), função Govern.
Abrir instrumento →
Camada 5 — Registro

Inventário de Sistemas de IA

16 campos Multi-sistema Risk-tags PT

Cadastro centralizado e atualizado de todos os sistemas de IA em uso ou desenvolvimento — internos e de terceiros, incluindo shadow AI e funcionalidades embarcadas. Cada sistema é catalogado com dezesseis campos (ID, proprietário, finalidade, origem, técnica, dados, base legal LGPD, classificação de risco EU AI Act, decisão automatizada, supervisão humana, status, documentação vinculada, responsável técnico, próxima revisão). O documento gerado inclui resumo executivo com contagem dinâmica por faixa de risco, quadro sintético e detalhamento por sistema com tag visual de risco.

Frameworks: ISO/IEC 42001:2023 cláusula 8 e Anexo A.4.2; Regulamento (UE) 2024/1689 art. 11 e Anexo IV; LGPD art. 37.
Abrir instrumento →
Camada 5 — Registro

DPIA/RIPD + FRIA Integrado

8 seções Por sistema LGPD + GDPR + EU AI Act PT

Formulário integrado de avaliação de impacto, articulando três instrumentos jurídicos distintos: Relatório de Impacto à Proteção de Dados Pessoais da LGPD, Data Protection Impact Assessment do GDPR e Fundamental Rights Impact Assessment do EU AI Act. As oito seções cobrem identificação do sistema, descrição do tratamento, necessidade e proporcionalidade, dados e base legal, riscos aos titulares (com tabela P×I calculada), decisões automatizadas (art. 20 LGPD), FRIA por direito fundamental e parecer final com assinaturas de DPO e Comitê. A integração reduz redundância documental preservando a especificidade de cada instrumento.

Frameworks: Lei nº 13.709/2018 art. 38 e 20 (LGPD); Regulamento (UE) 2016/679 art. 35 (GDPR); Regulamento (UE) 2024/1689 art. 27 (EU AI Act).
Abrir instrumento →
Camada 4 — Procedural

SOPs de MLOps

4 procedimentos Ciclo de vida Passos editáveis PT

Conjunto de quatro Procedimentos Operacionais Padrão articulados ao ciclo de vida do modelo: SOP-01 Desenvolvimento e treinamento, SOP-02 Validação e teste, SOP-03 Implantação e aprovação de go-live, SOP-04 Monitoramento, drift e resposta a incidentes. Cada SOP é apresentado com cabeçalho de sete metadados editáveis (objetivo, escopo, responsáveis, pré-condições, registros gerados, controles, referência normativa) seguido de passos numerados modificáveis. O documento gerado consolida os quatro SOPs com quadro sintético do ciclo articulando fases, saídas exigidas e aprovadores.

Frameworks: ISO/IEC 42001:2023 cláusula 8 (controle operacional); NIST AI RMF 1.0 (Measure, Manage); EU AI Act art. 72-73 (incidentes graves).
Abrir instrumento →
Camada 5 — Registro

Matriz de Riscos de IA (NIST AI RMF)

10 riscos seed P×I dinâmico Cores condicionais PT

Matriz de riscos organizada pelas quatro funções do NIST AI Risk Management Framework — Govern, Map, Measure, Manage — com cálculo P×I em tempo real (escala 1 a 5) e colorização condicional por faixa (verde para 1-6 baixo; laranja para 7-12 médio; vermelho para 13-25 alto). Pré-povoada com dez riscos seed cobrindo viés, qualidade de dados, drift, explicabilidade, segurança adversarial, privacidade, dependência de fornecedor, alucinação, supervisão humana e conformidade regulatória. O documento gerado inclui KPIs por faixa, distribuição por função NIST e aviso destacado quando houver riscos críticos.

Frameworks: NIST (2023). Artificial Intelligence Risk Management Framework (AI RMF 1.0), NIST AI 100-1; ISO/IEC 42001:2023 cláusula 6.1; EU AI Act art. 9 (gestão de risco para sistemas de alto risco).
Abrir instrumento →

Referências

Conjunto consolidado das fontes que sustentam os oito instrumentos. Conformidade APA 7 ª edição. Ordenação alfabética.

  1. Barocas, S., Hardt, M., & Narayanan, A. (2019). Fairness and machine learning: Limitations and opportunities. fairmlbook.org.
  2. Bietti, E. (2020). From ethics washing to ethics bashing: A view on tech ethics from within moral philosophy. Proceedings of the 2020 Conference on Fairness, Accountability, and Transparency, 210–219. https://doi.org/10.1145/3351095.3372860
  3. Brasil. (2018). Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais — LGPD). Diário Oficial da União.
  4. Brasil. (1976). Lei nº 6.404, de 15 de dezembro de 1976 (Lei das Sociedades por Ações), com a redação dada pela Lei nº 13.303/2016.
  5. Brasil. (2023). Projeto de Lei nº 2338, de 2023 (Marco Legal da Inteligência Artificial). Senado Federal (em tramitação na Câmara dos Deputados).
  6. Cummings, M. L. (2017). Automation bias in intelligent time critical decision support systems. In Decision Making in Aviation (pp. 289–294). Routledge.
  7. Doshi-Velez, F., & Kim, B. (2017). Towards a rigorous science of interpretable machine learning. arXiv:1702.08608.
  8. Engler, A. (2023). AI procurement frameworks: A review and analysis. Brookings Institution.
  9. European Parliament & Council of the European Union. (2024). Regulation (EU) 2024/1689 of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act). Official Journal of the European Union, L series, 12 jul. 2024.
  10. Filgueiras, F., & Mendonça, R. F. (2023). Governance of artificial intelligence: The Brazilian path. Policy and Society, 42(3), 350–367. https://doi.org/10.1093/polsoc/puad018
  11. Floridi, L., & Cowls, J. (2019). A unified framework of five principles for AI in society. Harvard Data Science Review, 1(1). https://doi.org/10.1162/99608f92.8cd550d1
  12. Gebru, T., Morgenstern, J., Vecchione, B., Vaughan, J. W., Wallach, H., Daumé III, H., & Crawford, K. (2021). Datasheets for datasets. Communications of the ACM, 64(12), 86–92. https://doi.org/10.1145/3458723
  13. Instituto Brasileiro de Governança Corporativa. (2023). Código brasileiro de governança corporativa: Companhias abertas (6. ed.). IBGC.
  14. International Organization for Standardization. (2022). ISO/IEC 27001:2022 — Information security, cybersecurity and privacy protection — Information security management systems. ISO.
  15. International Organization for Standardization. (2023). ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system. ISO.
  16. Jobin, A., Ienca, M., & Vayena, E. (2019). The global landscape of AI ethics guidelines. Nature Machine Intelligence, 1(9), 389–399. https://doi.org/10.1038/s42256-019-0088-2
  17. Mäntymäki, M., Minkkinen, M., Birkstedt, T., & Viljanen, M. (2022). Defining organizational AI governance. AI and Ethics, 2(4), 603–609. https://doi.org/10.1007/s43681-022-00143-x
  18. Mitchell, M., Wu, S., Zaldivar, A., Barnes, P., Vasserman, L., Hutchinson, B., Spitzer, E., Raji, I. D., & Gebru, T. (2019). Model cards for model reporting. Proceedings of the Conference on Fairness, Accountability, and Transparency, 220–229. https://doi.org/10.1145/3287560.3287596
  19. Mökander, J., Schuett, J., Kirk, H. R., & Floridi, L. (2023). Auditing large language models: A three-layered approach. AI and Ethics, 4(4), 1085–1115. https://doi.org/10.1007/s43681-023-00289-2
  20. National Institute of Standards and Technology. (2023). Artificial intelligence risk management framework (AI RMF 1.0) (NIST AI 100-1). U.S. Department of Commerce. https://doi.org/10.6028/NIST.AI.100-1
  21. Organisation for Economic Co-operation and Development. (2024). Recommendation of the Council on artificial intelligence (OECD/LEGAL/0449, rev.). OECD.
  22. Raji, I. D., Smart, A., White, R. N., Mitchell, M., Gebru, T., Hutchinson, B., Smith-Loud, J., Theron, D., & Barnes, P. (2020). Closing the AI accountability gap: Defining an end-to-end framework for internal algorithmic auditing. Proceedings of the 2020 Conference on Fairness, Accountability, and Transparency, 33–44. https://doi.org/10.1145/3351095.3372873
  23. Schiff, D. S. (2024). AI policy ecosystems in 2024: Comparative regulatory developments. AI & Society, 39(2), 451–470.
  24. UNESCO. (2021). Recommendation on the ethics of artificial intelligence (SHS/BIO/REC-AIETHICS/2021). United Nations Educational, Scientific and Cultural Organization.