IBGIA - Instituto Brasileiro de Governança em Inteligência Artificial
Artigos

Framework de avaliação de maturidade em IA responsável: uma proposta brasileira

Apresentamos as bases conceituais de um framework brasileiro de avaliação de maturidade em governança de IA, adaptado ao contexto jurídico e social do país e alinhado com os melhores padrões internacionais.

Por André Nakamura25 de fevereiro de 202610 min de leitura

Framework de avaliação de maturidade em IA responsável: uma proposta brasileira

A adoção acelerada de sistemas de Inteligência Artificial por organizações brasileiras — do setor financeiro ao agronegócio, da saúde pública ao varejo — expõe uma lacuna crítica: a ausência de um instrumento estruturado que permita a essas organizações avaliar, de forma sistemática e objetiva, o estágio de maturidade de suas práticas de governança de IA.

Frameworks internacionais como a ISO/IEC 42001 (Sistema de Gestão de IA), o NIST AI Risk Management Framework e o Assessment List for Trustworthy AI (ALTAI) da Comissão Europeia oferecem referências valiosas, mas foram concebidos para contextos regulatórios, econômicos e sociais distintos do brasileiro. A transposição direta desses frameworks, sem adaptação, pode resultar em instrumentos ineficazes ou inadequados à realidade das organizações brasileiras.

Este artigo apresenta as bases conceituais de uma proposta brasileira de framework de avaliação de maturidade em governança de IA, desenvolvida pelo IBGIA com o objetivo de oferecer um instrumento prático, escalável e culturalmente adaptado.

Por que um framework brasileiro

A necessidade de um framework adaptado ao contexto nacional decorre de múltiplos fatores.

Especificidades regulatórias. O ambiente regulatório brasileiro — com a LGPD, o Código de Defesa do Consumidor, a legislação trabalhista e o futuro Marco Legal de IA — difere substancialmente dos ambientes europeu e norte-americano. Um framework de maturidade deve refletir essas especificidades, orientando as organizações para a conformidade com o ordenamento jurídico brasileiro.

Desigualdades estruturais. O Brasil apresenta desigualdades socioeconômicas, raciais, regionais e de gênero que impactam diretamente os riscos associados ao uso de IA. Sistemas de IA implantados no Brasil podem reproduzir e amplificar essas desigualdades de formas que frameworks internacionais não foram projetados para detectar ou mitigar. Um framework brasileiro deve incorporar dimensões de equidade contextualmente relevantes.

Diversidade organizacional. O tecido empresarial brasileiro é composto majoritariamente por micro, pequenas e médias empresas, com recursos limitados para investir em estruturas complexas de governança. Um framework eficaz deve ser escalável, com requisitos proporcionais ao porte, à complexidade e ao nível de risco das operações de IA de cada organização.

Maturidade institucional. A governança de IA é um campo nascente no Brasil. A maioria das organizações está em estágios iniciais de adoção de práticas formais. Um framework de maturidade deve contemplar esses estágios iniciais, oferecendo caminhos claros de evolução e reconhecendo progressos incrementais.

Fundamentos conceituais

O framework proposto pelo IBGIA se fundamenta em três pilares conceituais.

Abordagem baseada em risco

Alinhado com as melhores práticas internacionais e com o PL 2338/2023, o framework adota uma abordagem baseada em risco. As exigências de governança são proporcionais ao nível de risco dos sistemas de IA utilizados pela organização. Isso permite que organizações com aplicações de baixo risco cumpram requisitos proporcionais, enquanto organizações com sistemas de alto risco são orientadas a adotar práticas mais rigorosas.

A classificação de risco proposta considera:

  • Impacto sobre direitos fundamentais: potencial de afetar liberdades, dignidade, privacidade, igualdade e acesso a serviços essenciais.
  • Grau de automação: nível de autonomia do sistema na tomada de decisões, desde assistência humana até automação completa.
  • Escala e alcance: número de pessoas afetadas e abrangência geográfica da aplicação.
  • Sensibilidade dos dados: natureza dos dados processados, com atenção especial a dados pessoais sensíveis.
  • Contexto setorial: especificidades do setor de aplicação (saúde, finanças, segurança pública, educação, etc.).

Modelo de maturidade progressivo

O framework adota um modelo de maturidade em cinco níveis, inspirado em modelos consolidados como o CMMI (Capability Maturity Model Integration) e adaptado ao contexto de governança de IA.

Nível 1 — Inicial. A organização utiliza IA, mas sem políticas ou processos formais de governança. As decisões sobre IA são ad hoc e dependem de indivíduos. Não há mapeamento dos sistemas de IA em uso nem avaliação de riscos.

Nível 2 — Consciente. A organização reconhece a necessidade de governança de IA. Existe um mapeamento parcial dos sistemas de IA, políticas básicas foram definidas e há algum nível de conscientização entre a liderança. Processos de avaliação de risco são incipientes.

Nível 3 — Estruturado. A organização possui políticas formais de governança de IA, processos documentados de avaliação de risco e impacto, e uma instância de governança dedicada (comitê, responsável designado). Há monitoramento regular dos sistemas de IA e conformidade com requisitos legais básicos.

Nível 4 — Gerenciado. A governança de IA está integrada aos processos de gestão de riscos e compliance da organização. Existem métricas de desempenho, equidade e segurança dos sistemas de IA, com monitoramento contínuo e melhoria iterativa. A organização realiza auditorias internas de governança de IA e possui mecanismos de transparência para stakeholders.

Nível 5 — Líder. A organização é referência em governança de IA. Possui práticas avançadas de transparência algorítmica, participação de stakeholders na governança, auditorias externas regulares e contribuição ativa para o desenvolvimento de padrões e boas práticas no ecossistema. A governança de IA está incorporada à cultura organizacional.

Dimensões de avaliação

O framework avalia a maturidade da organização em sete dimensões, cada uma com critérios específicos e evidências requeridas.

Dimensão 1 — Governança e liderança. Estruturas de governança, papéis e responsabilidades, comprometimento da alta liderança, cultura organizacional.

Dimensão 2 — Estratégia e políticas. Estratégia organizacional de IA, políticas de uso responsável, princípios éticos, diretrizes de desenvolvimento e aquisição.

Dimensão 3 — Gestão de riscos. Mapeamento de sistemas de IA, classificação de riscos, avaliações de impacto, planos de mitigação, monitoramento contínuo.

Dimensão 4 — Dados e privacidade. Governança de dados, conformidade com a LGPD, qualidade de dados, gestão de vieses nos dados, proteção de dados pessoais.

Dimensão 5 — Transparência e explicabilidade. Documentação de sistemas, comunicação para stakeholders, explicabilidade de decisões, mecanismos de contestação.

Dimensão 6 — Equidade e não discriminação. Avaliação de vieses, testes de equidade, monitoramento de métricas de fairness, atenção às desigualdades estruturais brasileiras.

Dimensão 7 — Segurança e robustez. Testes e validação, cibersegurança, resiliência, planos de contingência, gestão de incidentes.

Alinhamento com padrões internacionais

O framework do IBGIA não é um instrumento isolado, mas uma adaptação contextualizada que mantém interoperabilidade com os principais padrões internacionais.

ISO/IEC 42001:2023

A norma ISO/IEC 42001 estabelece requisitos para um Sistema de Gestão de Inteligência Artificial (AIMS). O framework do IBGIA mapeia suas dimensões de avaliação para os requisitos da ISO 42001, permitindo que organizações que utilizam o framework do IBGIA estejam simultaneamente avançando em sua conformidade com o padrão internacional. Há uma correspondência direta entre as dimensões do framework e as cláusulas da ISO 42001, particularmente nos temas de liderança (cláusula 5), planejamento (cláusula 6), operação (cláusula 8) e avaliação de desempenho (cláusula 9).

NIST AI Risk Management Framework

O NIST AI RMF 1.0, publicado pelo National Institute of Standards and Technology dos EUA, organiza a gestão de riscos de IA em quatro funções: Govern, Map, Measure e Manage. O framework do IBGIA incorpora essas funções em suas dimensões, com a função Govern mapeada para as dimensões de Governança e Estratégia, Map para Gestão de Riscos, Measure para Transparência e Equidade, e Manage para Segurança e monitoramento contínuo.

EU AI Act — Assessment List for Trustworthy AI (ALTAI)

O ALTAI, desenvolvido pelo High-Level Expert Group on AI da Comissão Europeia, oferece um checklist para a avaliação de sistemas de IA confiáveis. O framework do IBGIA incorpora os sete requisitos do ALTAI — agência e supervisão humana, robustez técnica e segurança, privacidade e governança de dados, transparência, diversidade/não discriminação/equidade, bem-estar social e ambiental, e accountability — distribuídos entre suas sete dimensões.

Metodologia de avaliação

A avaliação de maturidade proposta pelo IBGIA combina três abordagens complementares.

Autoavaliação guiada. Questionário estruturado, com perguntas objetivas e subjetivas para cada dimensão, que a organização pode realizar internamente. Esse instrumento é disponibilizado pelo IBGIA como ferramenta de diagnóstico inicial, acessível a organizações de todos os portes.

Avaliação assistida. Processo conduzido com o apoio de consultores habilitados pelo IBGIA, que inclui entrevistas com stakeholders-chave, análise de documentos e processos, e verificação de evidências. Resulta em um relatório detalhado com diagnóstico e recomendações.

Avaliação independente. Processo conduzido por avaliadores independentes credenciados pelo IBGIA, com análise aprofundada de evidências, testes de sistemas e entrevistas ampliadas. Resulta na atribuição formal de um nível de maturidade e, para os níveis 3 a 5, na possibilidade de obtenção do Selo IBGIA de Boas Práticas em IA.

O Selo IBGIA de Boas Práticas em IA

O Selo IBGIA de Boas Práticas em IA é um reconhecimento formal de que a organização atingiu um nível de maturidade adequado em governança de IA, conforme avaliação independente realizada com base no framework do IBGIA.

O selo é concedido em três categorias:

  • Selo Bronze — correspondente ao Nível 3 (Estruturado): a organização possui políticas formais, processos documentados e conformidade legal.
  • Selo Prata — correspondente ao Nível 4 (Gerenciado): a organização possui governança integrada, monitoramento contínuo e melhoria iterativa.
  • Selo Ouro — correspondente ao Nível 5 (Líder): a organização é referência em governança de IA, com práticas avançadas e contribuição ao ecossistema.

O selo tem validade de dois anos, após os quais uma reavaliação é necessária. Esse modelo incentiva a melhoria contínua e garante a atualidade das práticas avaliadas.

É importante ressaltar que o Selo IBGIA de Boas Práticas em IA não constitui uma garantia de conformidade regulatória absoluta, mas um reconhecimento de que a organização adota práticas de governança alinhadas com os melhores padrões nacionais e internacionais. Ele serve como instrumento de diferenciação de mercado, demonstração de compromisso e referência para stakeholders.

Próximos passos

O framework apresentado neste artigo está em fase de desenvolvimento e validação. O IBGIA planeja as seguintes etapas:

  1. Consulta pública: Publicação do framework completo para consulta de especialistas, empresas, academia e sociedade civil (prevista para o segundo trimestre de 2026).
  2. Programa piloto: Aplicação do framework em organizações piloto de diferentes portes e setores, para validação e refinamento da metodologia (segundo semestre de 2026).
  3. Lançamento oficial: Publicação da versão 1.0 do framework, com guias de implementação e ferramentas de autoavaliação (quarto trimestre de 2026).
  4. Formação de avaliadores: Programa de capacitação e habilitação de avaliadores independentes (a partir de 2027).

Organizações interessadas em participar do programa piloto ou em contribuir com a consulta pública são convidadas a entrar em contato com o IBGIA.

Considerações finais

O desenvolvimento de um framework brasileiro de avaliação de maturidade em governança de IA não é um exercício acadêmico. É uma necessidade prática urgente para um país que adota IA em ritmo acelerado, mas que ainda carece de instrumentos adaptados à sua realidade para avaliar e orientar essa adoção de forma responsável.

O IBGIA convida empresas, academia, governo e sociedade civil a participarem da construção desse instrumento. A governança de IA responsável no Brasil será construída coletivamente — ou não será.

Referências

  • INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system. ISO, 2023.
  • NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST). Artificial Intelligence Risk Management Framework (AI RMF 1.0). U.S. Department of Commerce, 2023.
  • EUROPEAN COMMISSION — HIGH-LEVEL EXPERT GROUP ON AI. Assessment List for Trustworthy Artificial Intelligence (ALTAI). European Commission, 2020.
  • CMMI INSTITUTE. CMMI V2.0 Model. ISACA, 2018.
  • EUROPEAN COMMISSION. Regulation (EU) 2024/1689 — AI Act. Official Journal of the European Union, 2024.
  • BRASIL. Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD).
  • BRASIL. Projeto de Lei nº 2338/2023. Dispõe sobre o uso da Inteligência Artificial. Senado Federal, 2023.
  • OECD. Recommendation of the Council on Artificial Intelligence. OECD/LEGAL/0449, 2019 (atualizada em 2024).
  • FLORIDI, L. et al. An Ethical Framework for a Good AI Society: Opportunities, Risks, Principles, and Recommendations. Minds and Machines, v. 28, p. 689-707, 2018.

André Nakamura é diretor técnico do IBGIA — Instituto Brasileiro de Governança em Inteligência Artificial.

frameworkmaturidadeavaliaçãoIA responsávelboas práticasISO 42001
CompartilharLinkedInWhatsApp
Newsletter

Receba nossas publicações no seu e-mail

Assine a newsletter do IBGIA e seja o primeiro a receber artigos, relatórios e notas técnicas sobre governança de IA no Brasil.

100% gratuitoSem spam, cancele quando quiser

Leia Tambem

ArtigosO Futuro da Regulação de IA na América LatinaUma análise comparativa dos marcos regulatórios de Inteligência Artificial em desenvolvimento no Brasil, México, Chile, ...Ler artigoArtigosIA Generativa e Governança Corporativa: Desafios e OportunidadesA adoção acelerada de ferramentas de IA generativa nas organizações traz benefícios significativos de produtividade, mas...Ler artigoArtigosComo implementar governança de IA na sua organização: guia práticoUm roteiro prático em seis etapas para organizações que desejam implementar governança de inteligência artificial, desde...Ler artigo
Veja nas NotíciasAcompanhe lançamentos de publicações e novidades do IBGIA
Voltar para publicações

Receba nossas publicações

Assine nossa newsletter para receber artigos, relatórios e notas técnicas diretamente no seu e-mail.

Análises exclusivas sobre governança de IA

Receba análises, alertas regulatórios e frameworks práticos sobre IA no Brasil. Toda semana no seu email — gratuito.