Framework de Avaliação de Maturidade em Governança de IA: Uma Proposta Brasileira

Série: IBGIA Working Papers Número: WP-2026-002 ISSN: Em processo de registro Data: Março de 2026

Autores:

• André Nakamura¹ ²
• Luiz Fialho¹ ³

¹ IBGIA — Instituto Brasileiro de Governança em Inteligência Artificial ² Coordenador Técnico e de Avaliação, IBGIA ³ Coordenador de Pesquisa Aplicada, IBGIA

Contato: [email protected] | [email protected]

---

Resumo

Este working paper propõe um framework de avaliação de maturidade em governança de Inteligência Artificial adaptado ao contexto brasileiro. O modelo estrutura-se em cinco níveis de maturidade — Inicial, Básico, Intermediário, Avançado e Referência — e oito dimensões de avaliação: Estratégia, Pessoas, Processos, Dados, Tecnologia, Ética, Compliance e Monitoramento. O framework foi desenvolvido a partir da análise comparativa de iniciativas internacionais consolidadas, incluindo o NIST AI Risk Management Framework (AI RMF), a norma ISO/IEC 42001:2023, o Model AI Governance Framework de Singapura e o AI Assessment Program da OECD. A proposta incorpora elementos específicos do ecossistema regulatório e socioeconômico brasileiro, incluindo alinhamento com a LGPD, o PL 2338/2023 e as diretrizes da Estratégia Brasileira de Inteligência Artificial (EBIA). Apresenta-se uma metodologia de pontuação quantitativa e qualitativa, um roteiro de implementação organizacional e uma abordagem de estudo de caso para validação empírica. O framework não constitui um programa de certificação, mas sim uma ferramenta de autoavaliação e melhoria contínua que visa apoiar organizações brasileiras — públicas e privadas — no desenvolvimento de práticas robustas de governança de IA.

Palavras-chave: Governança de IA; Maturidade Organizacional; Framework de Avaliação; Boas Práticas; Brasil; Gestão de Riscos; Inteligência Artificial.

Abstract

This working paper proposes an AI governance maturity assessment framework adapted to the Brazilian context. The model is structured across five maturity levels — Initial, Basic, Intermediate, Advanced, and Reference — and eight evaluation dimensions: Strategy, People, Processes, Data, Technology, Ethics, Compliance, and Monitoring. The framework was developed through comparative analysis of established international initiatives, including the NIST AI Risk Management Framework (AI RMF), ISO/IEC 42001:2023, Singapore's Model AI Governance Framework, and the OECD AI Assessment Program. The proposal incorporates elements specific to the Brazilian regulatory and socioeconomic ecosystem, including alignment with the LGPD (Brazil's General Data Protection Law), Bill 2338/2023, and the Brazilian AI Strategy (EBIA). We present a quantitative and qualitative scoring methodology, an organizational implementation roadmap, and a case study approach for empirical validation. The framework does not constitute a certification program, but rather a self-assessment and continuous improvement tool aimed at supporting Brazilian organizations — both public and private — in developing robust AI governance practices.

Keywords: AI Governance; Organizational Maturity; Assessment Framework; Best Practices; Brazil; Risk Management; Artificial Intelligence.

---

1. Introdução

A adoção acelerada de sistemas de Inteligência Artificial por organizações brasileiras impõe desafios significativos de governança. Pesquisas recentes indicam que, embora mais de 40% das grandes empresas brasileiras já utilizem alguma forma de IA em suas operações (CETIC.BR, 2025), menos de 15% possuem estruturas formais de governança para esses sistemas (FGV, 2025). Essa lacuna entre adoção tecnológica e maturidade de governança representa um risco substancial — não apenas para as organizações individualmente, mas para o ecossistema de IA brasileiro como um todo.

No cenário internacional, diversas iniciativas têm buscado oferecer referenciais para que organizações avaliem e aprimorem suas práticas de governança de IA. O NIST AI Risk Management Framework (2023), a norma ISO/IEC 42001:2023, o Model AI Governance Framework de Singapura (2020) e as diretrizes da OECD representam marcos importantes nesse campo. Contudo, nenhum desses frameworks foi concebido para as especificidades do contexto brasileiro — um ecossistema regulatório em construção, com uma tradição robusta de proteção de dados pessoais (LGPD), desigualdades socioeconômicas significativas que amplificam riscos algorítmicos e um setor público que é simultaneamente grande adotante e regulador de IA.

1.1 Motivação e Objetivos

A ausência de um referencial brasileiro de maturidade em governança de IA cria três problemas concretos:

Primeiro, organizações que desejam implementar boas práticas de governança carecem de um roteiro estruturado e adaptado à realidade local. Frameworks internacionais, embora valiosos como referência, não contemplam aspectos como o regime jurídico da LGPD, as obrigações do PL 2338/2023, as diretrizes da EBIA ou as especificidades do setor público brasileiro.

Segundo, reguladores e formuladores de políticas públicas não dispõem de uma taxonomia comum para avaliar o estado de maturidade de governança de IA nas organizações sob sua supervisão. Isso dificulta tanto a priorização de esforços regulatórios quanto o diálogo entre reguladores e regulados.

Terceiro, a sociedade civil e a academia carecem de instrumentos para avaliar sistematicamente como organizações estão gerindo os riscos associados ao uso de IA, limitando a capacidade de escrutínio público e de produção de evidências para o debate regulatório.

Este working paper propõe endereçar essas lacunas por meio de um framework de avaliação de maturidade em governança de IA que: (i) ofereça uma linguagem comum entre organizações, reguladores e sociedade civil; (ii) seja adaptado às especificidades do contexto brasileiro; (iii) permita avaliação quantitativa e qualitativa; e (iv) funcione como instrumento de melhoria contínua, não como mecanismo de avaliação punitiva.

1.2 Metodologia de Desenvolvimento do Framework

O framework proposto foi desenvolvido por meio de uma abordagem em quatro etapas:

Etapa 1 — Revisão da literatura e benchmarking internacional: Análise sistemática de frameworks existentes (NIST AI RMF, ISO 42001, Singapore MAIGF, OECD AI Principles, IEEE EAD1e), identificando dimensões comuns, escalas de maturidade e metodologias de avaliação.

Etapa 2 — Contextualização ao cenário brasileiro: Mapeamento das especificidades regulatórias (LGPD, PL 2338/2023, EBIA), institucionais (ANPD, CGU, TCU) e socioeconômicas (desigualdade digital, setor público como grande adotante) que devem ser refletidas no framework.

Etapa 3 — Estruturação do modelo: Definição dos níveis de maturidade, dimensões de avaliação, indicadores e metodologia de pontuação, com base na síntese das etapas anteriores.

Etapa 4 — Validação por consulta especializada: Submissão da proposta a especialistas em governança, tecnologia, direito e ética para refinamento (a ser conduzida como próxima fase da pesquisa).

1.3 Escopo e Limitações

Este working paper apresenta a versão propositiva do framework, correspondente às Etapas 1 a 3. A validação empírica (Etapa 4) será objeto de publicação subsequente. O framework destina-se a organizações de médio e grande porte, tanto do setor público quanto privado, que desenvolvem ou utilizam sistemas de IA. Micro e pequenas empresas podem requerer uma versão simplificada, a ser desenvolvida como extensão futura.

2. Análise Comparativa de Frameworks Internacionais

Antes de apresentar o modelo proposto, é essencial compreender as abordagens adotadas pelos principais frameworks internacionais, identificando convergências e lacunas que informam nossa proposta.

2.1 NIST AI Risk Management Framework (AI RMF 1.0)

O NIST AI RMF, publicado em janeiro de 2023 pelo National Institute of Standards and Technology dos Estados Unidos, organiza-se em torno de quatro funções principais: Govern, Map, Measure e Manage. A função Govern é transversal às demais e estabelece a base de políticas, processos e estruturas organizacionais para gestão de riscos de IA.

Pontos fortes: Abordagem abrangente e flexível; integração com outros frameworks de gestão de risco do NIST (Cybersecurity Framework); ênfase em contextualização organizacional; documentação detalhada com Playbook complementar.

Limitações para o contexto brasileiro: Ausência de escala de maturidade explícita; orientado predominantemente ao setor privado norte-americano; não contempla especificidades de proteção de dados do modelo europeu/brasileiro; terminologia e exemplos distantes da realidade latino-americana.

2.2 ISO/IEC 42001:2023

A norma ISO/IEC 42001:2023 — Artificial Intelligence Management System (AIMS) — estabelece requisitos para um sistema de gestão de IA, seguindo a estrutura de alto nível (HLS) comum a normas como ISO 27001 e ISO 9001. A norma é certificável, o que a diferencia dos demais frameworks analisados.

Pontos fortes: Estrutura consolidada e reconhecida globalmente; compatibilidade com outros sistemas de gestão ISO; abordagem de ciclo de vida completo; requisitos objetivos e auditáveis.

Limitações para o contexto brasileiro: Custo elevado de implementação e avaliação de conformidade; complexidade excessiva para organizações em estágios iniciais de maturidade; abordagem genérica que requer customização significativa para contextos específicos; baixa penetração de normas ISO em organizações públicas brasileiras.

2.3 Singapore Model AI Governance Framework

O Model AI Governance Framework de Singapura, publicado pela Infocomm Media Development Authority (IMDA) em 2020 (segunda edição), organiza-se em torno de dois princípios fundamentais — explicabilidade e centramento no ser humano — e quatro áreas de implementação: governança interna, operações e monitoramento, stakeholder interaction e communication, e model building and testing.

Pontos fortes: Linguagem acessível e orientada à prática; casos de uso detalhados por setor (finanças, saúde, transporte); guia de implementação com exemplos concretos; abordagem proporcional ao risco.

Limitações para o contexto brasileiro: Contexto de cidade-estado com ecossistema regulatório centralizado; foco predominante no setor financeiro; não incorpora dimensões de desigualdade social e digital relevantes para o Brasil; ausência de tratamento do setor público como categoria distinta.

2.4 Síntese Comparativa

| Dimensão | NIST AI RMF | ISO 42001 | Singapura | OECD AI Principles | |----------|-------------|-----------|-----------|-------------------| | Escala de maturidade | Implícita (tiers) | Conformidade binária | Implícita (progressão) | Não aplicável | | Dimensões de avaliação | 4 funções | Cláusulas da norma | 4 áreas | 5 princípios | | Setor público | Parcial | Genérico | Limitado | Transversal | | Pontuação quantitativa | Não | Parcial (audit) | Não | Não | | Contextualização local | EUA-centrado | Universal/genérico | Singapura-centrado | Global/princípios | | Ciclo de melhoria | Implícito | PDCA explícito | Implícito | Recomendado | | Proteção de dados | Referenciada | Integrada | Integrada | Princípio | | Acessibilidade | Alta (gratuito) | Baixa (pago) | Alta (gratuito) | Alta (gratuito) |

A análise comparativa revela que nenhum framework existente oferece simultaneamente: (i) escala de maturidade explícita com pontuação quantitativa; (ii) contextualização ao ecossistema regulatório brasileiro; (iii) tratamento diferenciado do setor público; e (iv) abordagem acessível e orientada à melhoria contínua. Essas são as lacunas que o framework proposto busca preencher.

3. O Framework IBGIA de Maturidade em Governança de IA

3.1 Princípios Orientadores

O framework fundamenta-se em cinco princípios orientadores:

Proporcionalidade: A avaliação deve ser proporcional ao porte da organização, à natureza dos sistemas de IA utilizados e ao nível de risco envolvido. Uma startup que utiliza IA para recomendação de conteúdo não deve ser avaliada pelos mesmos critérios de uma instituição financeira que emprega IA para decisões de crédito.

Progressividade: O framework reconhece que maturidade é uma jornada, não um destino. Organizações em estágios iniciais devem ser incentivadas a progredir gradualmente, sem exigências que inviabilizem a adoção de boas práticas.

Contextualização: As dimensões e indicadores refletem as especificidades do ecossistema brasileiro — regulatório, institucional e socioeconômico — sem perder interoperabilidade com referenciais internacionais.

Transparência metodológica: A metodologia de avaliação é pública e replicável, permitindo que organizações realizem autoavaliação e que terceiros verifiquem resultados de forma independente.

Melhoria contínua: O framework é um instrumento de desenvolvimento organizacional, não de avaliação punitiva ou de classificação competitiva. O objetivo é apoiar organizações na identificação de lacunas e na construção de planos de ação.

3.2 Níveis de Maturidade

O framework define cinco níveis de maturidade, cada um representando um estágio distinto de capacidade organizacional em governança de IA:

Nível 1 — Inicial

A organização utiliza sistemas de IA sem estrutura formal de governança. Decisões sobre desenvolvimento, aquisição e uso de IA são tomadas de forma ad hoc, sem políticas, processos ou responsabilidades definidas. Não há avaliação sistemática de riscos algorítmicos, e a conformidade regulatória é tratada reativamente.

Características típicas:

• Ausência de política de IA ou de governança algorítmica
• Decisões sobre IA descentralizadas e não documentadas
• Desconhecimento do inventário de sistemas de IA em uso
• Conformidade com LGPD e regulações setoriais tratada caso a caso
• Riscos de IA não mapeados ou não reconhecidos como categoria distinta

Indicador síntese: A organização não reconhece governança de IA como uma disciplina ou necessidade organizacional.

Nível 2 — Básico

A organização reconhece a necessidade de governança de IA e adota medidas iniciais, ainda que fragmentadas. Existem políticas básicas, mas sem implementação consistente. Há consciência dos riscos, mas a gestão é parcial.

Características típicas:

• Política de IA ou de uso ético de tecnologia publicada, mas com adesão limitada
• Inventário parcial de sistemas de IA em uso
• Responsabilidades de governança atribuídas, mas sem dedicação exclusiva
• Avaliação de riscos realizada para projetos específicos, não sistematicamente
• Treinamentos pontuais sobre IA responsável
• Conformidade regulatória com acompanhamento básico

Indicador síntese: A organização tem consciência e iniciativas isoladas de governança de IA, mas sem consistência ou abrangência.

Nível 3 — Intermediário

A organização possui estrutura formal de governança de IA com processos padronizados e implementação consistente na maioria das áreas. A gestão de riscos é sistemática e a conformidade regulatória é proativa.

Características típicas:

• Comitê ou estrutura dedicada de governança de IA
• Inventário completo e atualizado de sistemas de IA
• Processos padronizados de avaliação de risco e impacto algorítmico
• Programa estruturado de treinamento e conscientização
• Métricas de governança definidas e monitoradas
• Conformidade regulatória proativa, com acompanhamento de mudanças legislativas
• Processos de due diligence para aquisição de sistemas de IA de terceiros

Indicador síntese: A organização possui governança de IA funcional e padronizada, com processos maduros em implementação.

Nível 4 — Avançado

A organização possui governança de IA integrada à estratégia corporativa, com processos otimizados e baseados em dados. A gestão de riscos é preditiva, e a organização contribui ativamente para o ecossistema de governança.

Características típicas:

• Governança de IA integrada à governança corporativa e à estratégia de negócios
• Avaliação de impacto algorítmico automatizada e contínua
• Métricas avançadas com dashboards e reporting executivo
• Participação em sandboxes regulatórios e iniciativas setoriais
• Programas de engajamento com stakeholders afetados por sistemas de IA
• Auditorias independentes periódicas de sistemas de IA
• Gestão de riscos com elementos preditivos e cenários prospectivos

Indicador síntese: A organização é referência setorial em governança de IA, com práticas otimizadas e integradas.

Nível 5 — Referência

A organização é reconhecida como líder em governança de IA, contribuindo para o desenvolvimento de padrões e influenciando o ecossistema regulatório. Práticas são inovadoras e continuamente aprimoradas.

Características típicas:

• Práticas de governança de IA reconhecidas como benchmark setorial ou nacional
• Contribuição ativa para desenvolvimento de padrões, frameworks e regulações
• Inovação em metodologias de governança (ex: técnicas de auditoria algorítmica, mecanismos de participação social)
• Publicação de relatórios de transparência sobre uso de IA
• Programas de capacitação que extrapolam a organização (setor, cadeia de valor)
• Revisão contínua e antecipação de tendências regulatórias e tecnológicas
• Integração plena entre governança de IA, ESG e responsabilidade corporativa

Indicador síntese: A organização lidera e influencia o ecossistema de governança de IA além de suas fronteiras.

3.3 Dimensões de Avaliação

O framework avalia a maturidade organizacional em oito dimensões, cada uma representando um pilar fundamental da governança de IA. As dimensões foram definidas a partir da síntese dos frameworks internacionais analisados, complementadas por elementos específicos do contexto brasileiro.

Dimensão 1 — Estratégia

Avalia o grau em que a governança de IA está integrada à estratégia organizacional e conta com comprometimento da alta administração.

Indicadores-chave:

• E1.1: Existência de estratégia ou plano diretor de IA alinhado à estratégia organizacional
• E1.2: Comprometimento formal da alta administração com governança de IA
• E1.3: Alocação orçamentária específica para governança de IA
• E1.4: Definição de objetivos e metas mensuráveis de governança de IA
• E1.5: Revisão periódica da estratégia de IA com base em resultados e mudanças contextuais

Dimensão 2 — Pessoas

Avalia a capacitação, conscientização e estrutura organizacional para governança de IA.

Indicadores-chave:

• P2.1: Definição de papéis e responsabilidades de governança de IA (RACI ou equivalente)
• P2.2: Existência de comitê multidisciplinar de governança de IA
• P2.3: Programa estruturado de capacitação em IA responsável (técnico e não técnico)
• P2.4: Inclusão de competências em IA nos processos de recrutamento e avaliação
• P2.5: Diversidade na composição das equipes envolvidas em decisões sobre IA
• P2.6: Canal acessível para denúncias e preocupações relacionadas a IA (whistleblowing)

Dimensão 3 — Processos

Avalia a formalização e maturidade dos processos de ciclo de vida de sistemas de IA.

Indicadores-chave:

• PR3.1: Processo documentado para avaliação, aprovação e registro de novos sistemas de IA
• PR3.2: Avaliação de impacto algorítmico (AIA) padronizada e obrigatória para sistemas de alto risco
• PR3.3: Processos de teste, validação e homologação de sistemas de IA
• PR3.4: Processo de gestão de mudanças em sistemas de IA (versionamento, retreinamento, atualização)
• PR3.5: Processo de descomissionamento de sistemas de IA obsoletos ou inadequados
• PR3.6: Due diligence para aquisição de sistemas de IA de terceiros

Dimensão 4 — Dados

Avalia a governança dos dados utilizados em sistemas de IA, desde a coleta até o descarte.

Indicadores-chave:

• D4.1: Política de dados para IA, incluindo requisitos de qualidade, representatividade e atualidade
• D4.2: Processos de avaliação de viés em dados de treinamento e validação
• D4.3: Rastreabilidade e linhagem de dados (data lineage) em sistemas de IA
• D4.4: Conformidade com LGPD nos processos de coleta, tratamento e compartilhamento de dados para IA
• D4.5: Mecanismos de consentimento e transparência sobre uso de dados pessoais em IA
• D4.6: Segurança e proteção de dados em pipelines de IA (privacy by design)

Dimensão 5 — Tecnologia

Avalia as práticas técnicas de desenvolvimento, implantação e operação de sistemas de IA.

Indicadores-chave:

• T5.1: Adoção de práticas de MLOps/AIOps com documentação e rastreabilidade
• T5.2: Testes de robustez, segurança e performance de sistemas de IA
• T5.3: Mecanismos técnicos de explicabilidade e interpretabilidade
• T5.4: Controle de versão de modelos, dados e código
• T5.5: Monitoramento de drift (data drift e concept drift) em produção
• T5.6: Plano de contingência para falhas de sistemas de IA (fallback)

Dimensão 6 — Ética

Avalia a integração de princípios éticos no ciclo de vida de sistemas de IA.

Indicadores-chave:

• ET6.1: Código de ética ou princípios éticos específicos para IA
• ET6.2: Processo de avaliação ética de projetos de IA (comitê de ética ou equivalente)
• ET6.3: Mecanismos de detecção e mitigação de viés e discriminação algorítmica
• ET6.4: Garantia de supervisão humana significativa em decisões automatizadas de alto impacto
• ET6.5: Avaliação de impacto social e ambiental de sistemas de IA
• ET6.6: Processos de engajamento com comunidades afetadas por sistemas de IA

Dimensão 7 — Compliance

Avalia a conformidade com o marco regulatório aplicável e a preparação para mudanças regulatórias.

Indicadores-chave:

• C7.1: Mapeamento do marco regulatório aplicável (LGPD, PL 2338/2023, regulações setoriais)
• C7.2: Processo de monitoramento de mudanças regulatórias relacionadas a IA
• C7.3: Relatórios de impacto à proteção de dados pessoais (RIPD) para sistemas de IA
• C7.4: Documentação técnica de sistemas de IA conforme requisitos regulatórios
• C7.5: Mecanismos de resposta a direitos dos titulares (LGPD) e dos afetados (PL 2338/2023)
• C7.6: Preparação para auditorias e inspeções regulatórias

Dimensão 8 — Monitoramento

Avalia a capacidade de monitoramento contínuo, medição de resultados e melhoria contínua.

Indicadores-chave:

• M8.1: KPIs e métricas definidas para governança de IA
• M8.2: Dashboards e relatórios periódicos sobre desempenho de governança de IA
• M8.3: Processo de auditoria interna de sistemas de IA
• M8.4: Mecanismos de feedback e melhoria contínua
• M8.5: Incident response plan específico para incidentes envolvendo IA
• M8.6: Relatório anual de transparência sobre uso de IA pela organização

3.4 Matriz de Maturidade

A intersecção entre os cinco níveis de maturidade e as oito dimensões de avaliação produz uma matriz de 40 células, cada uma com descritores específicos que orientam a avaliação. A tabela a seguir apresenta uma visão simplificada da matriz para três dimensões ilustrativas:

| Dimensão \ Nível | 1 — Inicial | 2 — Básico | 3 — Intermediário | 4 — Avançado | 5 — Referência | |-------------------|-------------|------------|-------------------|--------------|----------------| | Estratégia | Sem estratégia de IA | Estratégia de IA informal | Plano diretor de IA formalizado | IA integrada à estratégia corporativa | Estratégia de IA como diferencial competitivo e referência setorial | | Pessoas | Sem papéis definidos | Responsáveis designados informalmente | Comitê de governança constituído | Programa de capacitação avançado e diversidade ativa | Centro de excelência em IA responsável | | Processos | Processos ad hoc | Processos básicos para projetos específicos | Processos padronizados e documentados | Processos otimizados e automatizados | Inovação em processos de governança | | Dados | Sem governança de dados para IA | Políticas básicas de dados | Governança de dados estruturada com linhagem | Governança avançada com detecção automatizada de viés | Dados como ativo estratégico governado integralmente | | Tecnologia | Sem práticas de MLOps | Versionamento básico de modelos | MLOps padronizado com monitoramento | MLOps avançado com explicabilidade nativa | Inovação em técnicas de IA responsável | | Ética | Sem considerações éticas formais | Princípios éticos declarados | Comitê de ética ativo com processos | Avaliação ética integrada ao ciclo de vida | Liderança em ética de IA com impacto externo | | Compliance | Conformidade desconhecida ou reativa | Mapeamento regulatório básico | Programa de conformidade estruturado | Conformidade proativa com preparação antecipada | Contribuição para desenvolvimento regulatório | | Monitoramento | Sem monitoramento | Métricas básicas e ad hoc | KPIs definidos com reporting periódico | Dashboards avançados com alertas automatizados | Monitoramento preditivo e transparência pública |

4. Metodologia de Pontuação

4.1 Escala de Pontuação

Cada indicador é avaliado em uma escala de 0 a 4, correspondendo aos cinco níveis de maturidade:

| Pontuação | Nível | Descrição | |-----------|-------|-----------| | 0 | Inicial | Inexistente ou completamente ad hoc | | 1 | Básico | Existente, mas informal, parcial ou inconsistente | | 2 | Intermediário | Formalizado, padronizado e implementado na maioria das áreas | | 3 | Avançado | Otimizado, integrado e baseado em dados | | 4 | Referência | Inovador, líder e com impacto além da organização |

A avaliação de cada indicador deve ser suportada por evidências objetivas — documentos, registros, entrevistas, observações — seguindo a abordagem de auditoria baseada em evidências.

4.2 Cálculo por Dimensão

A pontuação de cada dimensão é calculada como a média aritmética das pontuações dos seus indicadores, normalizada para uma escala de 0 a 100:

Pontuação da Dimensão D = (Soma das pontuações dos indicadores de D / Pontuação máxima possível de D) × 100

Exemplo: Se a Dimensão Estratégia possui 5 indicadores (E1.1 a E1.5) e uma organização obtém as pontuações [2, 1, 1, 2, 1], a pontuação da dimensão seria: (7 / 20) × 100 = 35 pontos, correspondendo ao Nível 2 — Básico.

4.3 Faixas de Classificação por Dimensão

| Faixa de Pontuação | Nível Correspondente | |---------------------|---------------------| | 0–15 | 1 — Inicial | | 16–40 | 2 — Básico | | 41–65 | 3 — Intermediário | | 66–85 | 4 — Avançado | | 86–100 | 5 — Referência |

4.4 Pontuação Global

A pontuação global de maturidade é calculada como a média ponderada das oito dimensões. Os pesos propostos refletem a importância relativa de cada dimensão para a governança de IA:

| Dimensão | Peso Proposto | Justificativa | |----------|---------------|---------------| | Estratégia | 12% | Fundamento para todas as demais dimensões | | Pessoas | 12% | Capital humano como fator crítico | | Processos | 15% | Operacionalização da governança | | Dados | 15% | Insumo fundamental e fonte primária de risco | | Tecnologia | 12% | Implementação técnica das práticas | | Ética | 12% | Pilar de legitimidade social | | Compliance | 12% | Conformidade como requisito básico | | Monitoramento | 10% | Sustentação e melhoria contínua |

Pontuação Global = Σ (Pontuação da Dimensão × Peso da Dimensão)

Os pesos são valores sugeridos e podem ser ajustados conforme o contexto organizacional, desde que a justificativa para o ajuste seja documentada. Para o setor público, por exemplo, pode-se considerar peso maior para Ética e Compliance, refletindo a natureza das obrigações do agente público.

4.5 Análise Qualitativa Complementar

A pontuação quantitativa deve ser complementada por uma análise qualitativa que considere:

Consistência: A variação entre dimensões é tão importante quanto a pontuação absoluta. Uma organização com pontuação 70 em Tecnologia mas 20 em Ética apresenta uma assimetria de maturidade que merece atenção prioritária.

Contextualização setorial: O nível de maturidade esperado varia por setor. Organizações do setor financeiro ou de saúde, que operam com sistemas de IA de alto risco, devem aspirar a níveis mais elevados do que organizações que utilizam IA apenas para processos internos de baixo risco.

Trajetória: A evolução ao longo do tempo é mais informativa que a pontuação em um ponto específico. Uma organização que progrediu de 25 para 45 em um ano demonstra comprometimento e capacidade de melhoria.

5. Roteiro de Implementação para Organizações

5.1 Fase 1 — Diagnóstico (Meses 1–2)

Objetivo: Estabelecer o baseline de maturidade da organização.

Atividades:

1. Constituir equipe de avaliação multidisciplinar (mínimo: representantes de TI, jurídico, compliance, negócios e, quando possível, ética)
2. Realizar inventário de sistemas de IA em uso e em desenvolvimento
3. Aplicar o framework de avaliação para cada dimensão, coletando evidências
4. Consolidar resultados em relatório de diagnóstico, incluindo pontuações e análise qualitativa
5. Identificar lacunas críticas e quick wins (melhorias de alto impacto e baixo esforço)

Entregas: Relatório de diagnóstico de maturidade; inventário de sistemas de IA; mapa de lacunas.

5.2 Fase 2 — Planejamento (Meses 2–3)

Objetivo: Definir o plano de ação para elevação da maturidade.

Atividades:

1. Definir nível-alvo de maturidade para cada dimensão, considerando o contexto organizacional, o setor e o apetite de risco
2. Priorizar dimensões com base em: gap entre situação atual e desejada, nível de risco dos sistemas de IA, requisitos regulatórios aplicáveis e recursos disponíveis
3. Elaborar plano de ação com iniciativas, responsáveis, cronograma e orçamento
4. Obter aprovação da alta administração e alocar recursos
5. Definir métricas de acompanhamento e marcos intermediários

Entregas: Plano de ação de governança de IA; apresentação executiva com business case.

5.3 Fase 3 — Implementação (Meses 3–12)

Objetivo: Executar o plano de ação e elevar a maturidade de governança.

Atividades (por dimensão prioritária):

• Estratégia: Elaborar ou atualizar política de IA; definir objetivos e metas; integrar IA à estratégia organizacional
• Pessoas: Constituir comitê de governança; implementar programa de capacitação; definir papéis e responsabilidades
• Processos: Formalizar processos de avaliação, aprovação e monitoramento de sistemas de IA; implementar AIA para sistemas de alto risco
• Dados: Estabelecer políticas de dados para IA; implementar avaliações de viés; garantir conformidade com LGPD
• Tecnologia: Adotar práticas de MLOps; implementar monitoramento de modelos em produção; documentar pipelines
• Ética: Publicar princípios éticos para IA; constituir comitê de ética ou integrar avaliação ética aos processos existentes
• Compliance: Mapear obrigações regulatórias; implementar processos de conformidade; preparar documentação para auditorias
• Monitoramento: Definir KPIs; implementar dashboards; estabelecer ciclo de revisão periódica

Entregas: Políticas e processos implementados; comitê de governança operacional; programa de capacitação em execução.

5.4 Fase 4 — Monitoramento e Melhoria Contínua (Contínuo)

Objetivo: Sustentar e aprimorar continuamente a maturidade de governança.

Atividades:

1. Monitorar KPIs de governança de IA mensalmente
2. Realizar reavaliação de maturidade semestralmente (ou quando houver mudanças significativas)
3. Revisar e atualizar políticas e processos com base em lições aprendidas
4. Acompanhar evolução regulatória e adaptar práticas proativamente
5. Compartilhar aprendizados com o ecossistema (publicações, eventos, comunidades de prática)

Entregas: Relatórios periódicos de governança; plano de ação atualizado; relatório anual de transparência.

6. Metodologia de Estudo de Caso

Para validação e demonstração do framework, propõe-se uma abordagem de estudo de caso múltiplo que permita avaliar a aplicabilidade do modelo em diferentes contextos organizacionais.

6.1 Design do Estudo

Tipo: Estudo de caso múltiplo, com unidades de análise incorporadas (YIN, 2018).

Seleção de casos: Mínimo de 4 organizações, selecionadas por amostragem intencional para maximizar variação:

• 1 organização do setor público federal (ex: autarquia ou empresa pública)
• 1 empresa privada de grande porte do setor financeiro
• 1 empresa de tecnologia de médio porte
• 1 organização do setor de saúde

Critérios de seleção: (i) utilização ativa de sistemas de IA; (ii) disposição para participar da avaliação; (iii) acesso a informantes-chave e documentação; (iv) variação setorial e de porte.

6.2 Protocolo de Coleta de Dados

Para cada caso, o protocolo de coleta inclui:

Documentação: Coleta e análise de políticas, procedimentos, relatórios e registros relacionados à governança de IA.

Entrevistas semiestruturadas: Mínimo de 5 entrevistas por organização com perfis distintos — alta administração, gestão de TI, compliance, jurídico, operações — seguindo roteiro baseado nos indicadores do framework.

Observação: Participação em reuniões de comitê de governança de IA, processos de avaliação de impacto ou sessões de revisão de modelos, quando acessíveis.

Autoavaliação: Aplicação do instrumento de autoavaliação por representantes da organização, para posterior triangulação com avaliação independente.

6.3 Análise e Validação

A análise segue três etapas:

Análise intra-caso: Avaliação detalhada de cada organização, aplicando o framework e gerando o perfil de maturidade.

Análise inter-caso: Comparação entre organizações, identificando padrões, fatores facilitadores e barreiras à maturidade.

Validação do framework: Avaliação da aplicabilidade, completude e discriminância do modelo, com base na experiência de aplicação e no feedback das organizações participantes.

6.4 Resultados Esperados

A aplicação do estudo de caso deve produzir: (i) perfis de maturidade individuais para cada organização; (ii) análise comparativa setorial; (iii) refinamento dos indicadores e da escala de pontuação com base na experiência empírica; (iv) guia de aplicação revisado com lições aprendidas; e (v) recomendações para evolução do framework.

7. Interoperabilidade com Frameworks Internacionais

Um requisito essencial do framework proposto é a interoperabilidade com os referenciais internacionais existentes, de modo que organizações que já adotam NIST AI RMF, ISO 42001 ou outros padrões possam integrar o modelo IBGIA sem retrabalho significativo.

7.1 Mapeamento de Correspondências

| Dimensão IBGIA | NIST AI RMF | ISO 42001 | Singapura MAIGF | |-----------------|-------------|-----------|-----------------| | Estratégia | GOVERN 1, GOVERN 2 | Cláusula 5 (Liderança) | Governance Structure | | Pessoas | GOVERN 3, GOVERN 5 | Cláusula 7.2 (Competência) | Internal Governance | | Processos | MAP, MANAGE | Cláusula 8 (Operação) | Operations & Monitoring | | Dados | MAP 2, MAP 3 | Anexo B (Data Management) | Model Building & Testing | | Tecnologia | MEASURE, MANAGE | Cláusula 8, Anexo C | Model Building & Testing | | Ética | GOVERN 4, MAP 5 | Cláusula 4.2 (Partes Interessadas) | Human-Centricity | | Compliance | GOVERN 6 | Cláusula 4.1, 9.2 | Stakeholder Interaction | | Monitoramento | MEASURE, MANAGE | Cláusula 9, 10 | Operations & Monitoring |

7.2 Recomendações de Integração

Organizações que já adotam frameworks internacionais podem utilizar o modelo IBGIA como camada complementar de contextualização brasileira. Especificamente:

• Organizações com ISO 42001: Utilizar o framework IBGIA como ferramenta de gap analysis para requisitos específicos do contexto brasileiro (LGPD, PL 2338/2023, EBIA)
• Organizações com NIST AI RMF: Mapear as funções NIST para as dimensões IBGIA, complementando com indicadores de Ética e Compliance específicos do Brasil
• Organizações com Singapura MAIGF: Expandir as quatro áreas de implementação para as oito dimensões IBGIA, adicionando profundidade em Dados, Tecnologia e Compliance

8. Considerações para o Setor Público Brasileiro

O setor público brasileiro apresenta características que demandam adaptação do framework:

Regime jurídico-administrativo: Princípios de legalidade, impessoalidade, moralidade, publicidade e eficiência (Art. 37, CF) devem ser observados na implementação de governança de IA, com ênfase em transparência e accountability.

Lei de Acesso à Informação (LAI): Sistemas de IA utilizados pelo poder público estão sujeitos a obrigações de transparência que vão além das exigências do setor privado, incluindo a publicidade ativa de informações sobre algoritmos utilizados em decisões que afetem cidadãos.

Processo decisório administrativo: Decisões automatizadas em processos administrativos devem observar os princípios do contraditório e da ampla defesa, exigindo mecanismos robustos de explicabilidade e contestação.

Política de Governo Digital: A Estratégia de Governo Digital (Decreto nº 10.332/2020, atualizado) e a Estratégia Brasileira de Inteligência Artificial (EBIA) estabelecem diretrizes específicas para uso de IA no governo que devem ser incorporadas à avaliação.

Compras públicas de IA: A aquisição de sistemas de IA por órgãos públicos requer critérios de avaliação que contemplem governança, transparência e accountability dos fornecedores, devendo ser refletida nos indicadores de Processos (PR3.6) e Compliance (C7.4).

Para o setor público, recomenda-se ajuste nos pesos das dimensões, com aumento para Ética (de 12% para 15%), Compliance (de 12% para 15%) e Monitoramento (de 10% para 12%), com redução proporcional em Tecnologia (de 12% para 9%) e Estratégia (de 12% para 9%).

9. Conclusão

Este working paper apresenta uma proposta de framework de avaliação de maturidade em governança de IA adaptado ao contexto brasileiro. O modelo estrutura-se em cinco níveis de maturidade e oito dimensões de avaliação, com metodologia de pontuação quantitativa e qualitativa, roteiro de implementação e abordagem de estudo de caso para validação empírica.

A contribuição principal do framework reside na combinação de quatro elementos raramente encontrados em conjunto nos referenciais existentes: escala de maturidade explícita, contextualização ao ecossistema regulatório brasileiro, tratamento diferenciado do setor público e orientação à melhoria contínua. O modelo não pretende substituir frameworks internacionais, mas complementá-los com uma camada de contextualização que facilite a adoção de boas práticas por organizações brasileiras.

É fundamental ressaltar que este framework não constitui um programa de avaliação formal ou um selo de conformidade. Trata-se de um instrumento de autoavaliação e melhoria contínua, concebido para apoiar organizações na construção de práticas robustas de governança de IA. O IBGIA acredita que a maturidade em governança de IA é uma jornada coletiva, e que ferramentas como esta contribuem para elevar o nível de todo o ecossistema.

As próximas etapas incluem: (i) consulta especializada para refinamento do framework; (ii) aplicação em estudos de caso piloto; (iii) desenvolvimento de instrumento de autoavaliação digital; e (iv) publicação de guia de implementação detalhado, com exemplos setoriais.

O IBGIA convida organizações interessadas em participar da fase de validação a entrar em contato por meio dos canais institucionais.

Referências

BRASIL. Projeto de Lei nº 2.338, de 2023. Dispõe sobre o uso da Inteligência Artificial. Senado Federal, Brasília, 2023.

BRASIL. Decreto nº 10.332, de 28 de abril de 2020. Institui a Estratégia de Governo Digital para o período de 2020 a 2022. Diário Oficial da União, Brasília, 2020.

BRASIL. Portaria MCTI nº 4.617, de 6 de abril de 2021. Institui a Estratégia Brasileira de Inteligência Artificial (EBIA). Ministério da Ciência, Tecnologia e Inovações, 2021.

CETIC.BR. Pesquisa sobre o uso das Tecnologias de Informação e Comunicação nas Empresas Brasileiras: TIC Empresas 2024. São Paulo: Comitê Gestor da Internet no Brasil, 2025.

EUROPEAN UNION. Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence (Artificial Intelligence Act). Official Journal of the European Union, 2024.

FGV. Pesquisa Anual de Governança de IA nas Organizações Brasileiras. Centro de Tecnologia e Sociedade, Fundação Getulio Vargas, Rio de Janeiro, 2025.

IEEE. Ethically Aligned Design: A Vision for Prioritizing Human Well-being with Autonomous and Intelligent Systems (EAD1e). IEEE Global Initiative on Ethics of Autonomous and Intelligent Systems, 2019.

IMDA. Model Artificial Intelligence Governance Framework. 2nd ed. Singapore: Infocomm Media Development Authority, 2020.

ISO/IEC. ISO/IEC 42001:2023 — Artificial Intelligence — Management System. Geneva: International Organization for Standardization, 2023.

NIST. AI Risk Management Framework (AI RMF 1.0). NIST AI 100-1. Gaithersburg: National Institute of Standards and Technology, 2023.

NIST. AI RMF Playbook. Gaithersburg: National Institute of Standards and Technology, 2023.

OECD. Recommendation of the Council on Artificial Intelligence. OECD/LEGAL/0449. Paris, 2019 (atualizada em 2024).

OECD. Tools for Trustworthy AI: A Framework Comparison. OECD Digital Economy Papers, No. 312. Paris: OECD Publishing, 2024.

YIN, R. K. Case Study Research and Applications: Design and Methods. 6th ed. Los Angeles: SAGE Publications, 2018.

BIONI, B.; ZANATTA, R. Proteção de dados e inteligência artificial: desafios regulatórios no contexto brasileiro. Internet & Sociedade, v. 4, n. 1, 2023.

COZMAN, F. G.; NERI, H. Inteligência Artificial: avanços e tendências. São Paulo: USP, 2023.

MENDES, L. S.; DONEDA, D. Marco Legal da Inteligência Artificial no Brasil: análise e propostas. Revista de Direito, Estado e Telecomunicações, v. 15, n. 2, 2023.

---

IBGIA Working Papers — ISSN em processo de registro

Esta publicação é licenciada sob Creative Commons BY-NC-SA 4.0.

Como citar: NAKAMURA, A.; FIALHO, L. Framework de avaliação de maturidade em governança de IA: uma proposta brasileira. IBGIA Working Papers, WP-2026-002, março 2026.