ISO/IEC 42001: a primeira norma global de IA — quando sua empresa BR vai precisar

Esse post NÃO é um guia de implementação completo (cada norma ISO tem 200+ páginas de detalhe). É um mapa pra você decidir: vale a pena certificar agora, esperar, ou ignorar?

A ISO publicou em dezembro/2023 a ISO/IEC 42001, primeira norma internacional sobre gestão de sistemas de inteligência artificial. Em 2025-2026 começou a virar requisito de procurement em multinacionais europeias e órgãos públicos. Esse post explica quando sua empresa BR vai precisar e o que custa.

O que a ISO 42001 cobre

Estrutura igual outras ISOs (27001 segurança, 9001 qualidade):

• Cláusulas 4-10: requisitos de SGSIA (Sistema de Gestão de Sistemas de IA) — política, planejamento, suporte, operação, avaliação, melhoria
• Anexo A: 38 controles de IA específicos (transparência, fairness, robustez, etc.)
• Anexo B-D: guias suplementares (objetivos da organização, ciclo de vida do sistema IA, impacto)

Diferente de ISO 27001 (foco em segurança), ISO 42001 foca em riscos específicos de IA: bias, opacidade, deriva de modelo, uso indevido, alucinação, propriedade intelectual.

Quem certifica vs quem só "implementa"

3 níveis de uso:

1. Implementar sem certificar: você lê a norma, aplica os controles que fazem sentido, documenta. Útil pra rigor interno. Custo: ~R$ 80k em consultoria + tempo equipe.

2. Auditoria de gap (sem certificado): contrata auditor externo pra dizer onde está vs onde deveria. Custo: R$ 30-50k. Sem certificado emitido. Útil como diagnóstico antes de certificar.

3. Certificação completa: certificadora acreditada (Bureau Veritas, BSI, DNV, TÜV etc.) audita + emite certificado válido 3 anos. Custo total: R$ 200-400k (implementação + auditoria de certificação + auditorias de surveillance anuais).

Quando uma empresa BR precisa

🟢 Provavelmente precisa em ≤12 meses

• Vende pra órgão público europeu ou multinacional UE (procurement já pede ISO 42001 em alguns RFPs em 2025)
• Setor financeiro com Bacen se for usar LLM em decisão de crédito (Bacen sinaliza que vai exigir framework ISO)
• Saúde que usa IA em diagnóstico/triagem (ANS começa a olhar)
• Setor público federal sob Marco Legal IA (PL 2338/2023, quando virar lei) — requisitos similares

🟡 Possivelmente em 12-24 meses

• B2B SaaS que vende pra fintechs reguladas (efeito cascata)
• Healthtechs com produtos de IA generativa em prontuário
• Edtechs com avaliação automatizada (cluster de procurement Ministério Educação)

🔴 Provavelmente NÃO precisa nos próximos 2-3 anos

• PME usando ChatGPT/Tokia internamente sem produto IA-as-feature
• Startup pre-Series-A focada em product-market fit (ROI ruim)
• Agência de marketing usando IA pra criar conteúdo
• E-commerce com chatbot básico de FAQ

Em todos esses casos, LGPD compliance é prioridade absoluta. ISO 42001 é "next level" pra quem já dominou LGPD.

Os 38 controles do Anexo A — agrupados em 7 famílias

A.2 — Políticas relacionadas a IA (3 controles)

• A.2.1 Documentar políticas de IA da organização
• A.2.2 Alinhamento com objetivos do negócio
• A.2.3 Revisão periódica

Tradução técnica: você tem IA-POLICY.md no repo da empresa? Ele é revisado anualmente? Tem versionamento?

A.3 — Estrutura organizacional (5 controles)

• Papéis e responsabilidades (quem decide o quê)
• Resolução de conflitos (entre PM e DPO, por ex)
• Conscientização da equipe

Tradução: tem RACI matrix pra "subir feature IA"? Quem aprova modelo novo, quem aprova prompt, quem aprova deploy?

A.4 — Gestão de recursos (4 controles)

• Recursos humanos qualificados
• Recursos computacionais
• Dados (qualidade, viés, viés de seleção)
• Sistemas (ferramentas, plataformas)

Tradução: seu time tem pelo menos 1 pessoa que sabe explicar "como funciona LLM"? Vocês têm budget definido pra IA (não só "vai quanto for")? Têm processo pra validar qualidade do dataset interno?

A.5 — Avaliação de impacto (4 controles)

• Identificação de partes afetadas
• Análise de impacto à privacidade/direitos
• Análise de risco operacional
• Documentação de impacto

Tradução: antes de subir feature IA nova, alguém preencheu "AI Impact Assessment"? (similar ao DPIA de LGPD)

A.6 — Ciclo de vida (8 controles — mais robustos)

• Requisitos
• Design
• Verificação e validação
• Implantação
• Operação e monitoramento
• Re-treinamento/atualização
• Retirada

Tradução: seu workflow de "modelo em produção" tem etapas claras? Quem decide quando aposentar um modelo? Tem changelog?

A.7 — Dados pra IA (4 controles)

• Aquisição
• Qualidade
• Proveniência
• Preparação (anotação, cleaning)

Tradução: documentado de onde vêm seus dados de treino/eval? Tem registro de quem anotou cada label?

A.8 — Sistemas de IA (10 controles — o coração)

• Documentação técnica (arquitetura, modelo, prompt)
• Logging (audit trail completo)
• Transparência pro usuário final
• Avaliação contínua
• Detecção de drift
• Avaliação de fairness
• Robustez (a ataques, edge cases)
• Reportagem de incidentes

Tradução: tem dashboard mostrando uso por modelo, latência, accuracy, drift? Tem alerta automático? Tem canal pro usuário final reportar problema com IA?

Caminho realista pra implementação (12 meses)

Mês 1-2 — Diagnóstico

• Inventário: liste todos sistemas IA da empresa
• Gap analysis: você vs cada um dos 38 controles
• Prioridade: quais controles têm maior risco / menor esforço

Mês 3-5 — Implementação básica

• Política IA escrita + aprovada
• RACI matrix de governança
• Templates: AI Impact Assessment, AI Documentation
• Audit log centralizado (Tokia tem nativo em Sprint 61)

Mês 6-8 — Implementação técnica

• Eval sets pra cada feature IA
• Monitoring de drift + fairness
• Pipeline de retreinamento documentado
• Plano de incidente IA + tabletop exercise

Mês 9-10 — Audit de gap externo

• Contrata auditor pra revisão pré-certificação
• Implementa correções

Mês 11-12 — Auditoria de certificação

• Estágio 1: revisão documental
• Estágio 2: auditoria in-loco
• Emissão de certificado

O que muda quando você usa gateway tipo Tokia

Vários controles do Anexo A.8 (logging, monitoramento, drift) ficam fácil se você usa um gateway centralizado:

• A.8.2 Logging completo: Tokia gera audit log de toda chamada IA com user, modelo, latência, custo, tokens
• A.8.5 Detecção de drift: timeline de latência + accuracy by model via /dashboard/usage
• A.8.6 Fairness: você combina audit log Tokia + suas labels pra rodar fairness metrics
• A.8.7 Robustez: rate limit + budget cap previne adversarial use
• A.8.10 Documentação: catálogo Tokia mostra modelo + provider + markup — já está organizado

Implementar sem gateway: você precisa codar tudo isso. Custo ~6 meses de senior dev.

Decisão: certificar ou não?

Faz uma reunião com CEO + DPO + CTO. Perguntas:

1. Vamos vender pra UE/multinacional nos próximos 18 meses?

   • Sim → comece processo agora
   • Não → próxima pergunta

2. Nosso setor (fintech/saúde/educação) tem sinal de regulação exigindo ISO 42001 em 12 meses?

   • Sim → comece processo agora
   • Não → próxima pergunta

3. Temos receita > R$ 50M ARR e cliente B2B grande pedindo?

   • Sim → vale o esforço (~1% do ARR em custo)
   • Não → próxima pergunta

4. Implementar SEM certificar (custo R$ 80k) ajuda em algum RFP imediato ou no funding?

   • Sim → faça gap analysis primeiro (R$ 30k), decida depois
   • Não → ainda não. Documente decisão pra revisar em 12 meses.

Próximo passo

Se você decidiu que vale, próximo passo concreto:

1. Compra a norma na ISO (~R$ 1.500) — vale a pena ler
2. Lista os ~10 sistemas IA da sua empresa (mais que pensa)
3. Aplica os 38 controles à um sistema piloto (3-4 semanas) pra sentir esforço real
4. Decide se vai pra certificação completa ou para no gap analysis

Se a parte do "audit log de chamadas IA" parece dor de cabeça, dá uma olhada em como Tokia centraliza isso — você economiza ~30% do esforço técnico de implementação.

Links

• Bacen Circular 3.978 + IA: checklist pra fintechs
• LGPD + ANPD: 5 multas reais de 2024-2025
• Marco Legal IA (PL 2338/2023): impacto pra dev