NORMA ISO 42.001 Tecnologia Da Informação - Inteligência Artificial - Sistema de Gestão Tradução ABNT

ABNT/CB-021
PROJETO ABNT NBR ISO/IEC 42001

MAR 2024
Tecnologia da informação — Inteligência artificial — Sistema de gestão
APRESENTAÇÃO
1) Este Projeto foi elaborado pela Comissão de Estudo de Inteligência Artificial (CE-021:005.042)
Projeto em Consulta Nacional
do Comitê Brasileiro de Tecnologias da Informação e Transformação Digital (ABNT/CB-021),

com número de Texto-Base 021:005.042-004, nas reuniões de:
13.07.2023 15.09.2023 16.11.2023
22.02.2024
a) é previsto para ser idêntico à ISO/IEC 42001:2023, que foi elaborada pelo Joint Technical
Committee Information Technology (ISO/JTC 1), Subcommittee Artificial Intelligence (SC 42);
b) não tem valor normativo.
2) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta
informação em seus comentários, com documentação comprobatória.
3) Analista ABNT – Carolina Martins de Oliveira.
© ABNT 2024
Todos os direitos reservados. Salvo disposição em contrário, nenhuma parte desta publicação pode ser modificada
ou utilizada de outra forma que altere seu conteúdo. Esta publicação não é um documento normativo e tem
apenas a incumbência de permitir uma consulta prévia ao assunto tratado. Não é autorizado postar na internet
ou intranet sem prévia permissão por escrito. A permissão pode ser solicitada aos meios de comunicação da ABNT.
NÃO TEM VALOR NORMATIVO

ABNT/CB-021
MAR 2024
Information technology — Artificial intelligence — Management system

Prefácio Nacional
A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização. As Normas

Brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB), dos Organismos
de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais (ABNT/CEE), são
elaboradas por Comissões de Estudo (CE), formadas pelas partes interessadas no tema objeto
da normalização.
Os Documentos Técnicos internacionais adotados são elaborados conforme as regras da

ABNT Diretiva 3.
A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais direitos
de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados à ABNT
a qualquer momento (Lei nº 9.279, de 14 de maio de 1996).
Os Documentos Técnicos ABNT, assim como as Normas Internacionais (ISO e IEC), são voluntários
e não incluem requisitos contratuais, legais ou estatutários. Os Documentos Técnicos ABNT não
substituem Leis, Decretos ou Regulamentos, aos quais os usuários devem atender, tendo precedência
sobre qualquer Documento Técnico ABNT.
Ressalta-se que os Documentos Técnicos ABNT podem ser objeto de citação em Regulamentos
Técnicos. Nestes casos, os órgãos responsáveis pelos Regulamentos Técnicos podem determinar
as datas para exigência dos requisitos de quaisquer Documentos Técnicos ABNT.
A ABNT NBR ISO/IEC 42001 foi elaborada no Comitê Brasileiro de Tecnologias da Informação
e Transformação Digital (ABNT/CB-021), pela Comissão de Estudo de Inteligência Artificial
(CE-021:005.042). O Projeto circulou em Consulta Nacional conforme Edital nº XX, de XX.XX.XXXX
a XX.XX.XXXX.
A ABNT NBR ISO/IEC 42001 é uma adoção idêntica, em conteúdo técnico, estrutura e redação,
à ISO/IEC 42001:2023, que foi elaborada pelo Joint Technical Committee Information Technology
(ISO/JTC 1), Subcommittee Artificial Intelligence (SC 42).
O Escopo da ABNT NBR ISO/IEC 42001 em inglês é o seguinte:
Scope
This document specifies the requirements and provides guidance for establishing, implementing,
maintaining and continually improving an AI management system within the context of an organization.
This document is intended for use by an organization providing or using products or services that utilize
AI systems. This document helps the organization develop or use AI systems responsibly in pursuing

ABNT/CB-021
MAR 2024
its objectives and meet applicable regulatory requirements, obligations related to interested parties and
expectations from them.
This document is applicable to any organization, regardless of size, type and nature, that provides
or uses products or services that utilize AI systems.

ABNT/CB-021
MAR 2024
Introdução
A inteligência artificial (IA) é cada vez mais aplicada em todos os setores que utilizam a tecnologia
da informação e espera-se que seja um dos principais motores da economia. Uma consequência desta
tendência é que determinadas aplicações podem dar origem a desafios sociais nos próximos anos.
Este documento pretende ajudar as organizações a desempenhar de forma responsável o seu papel
no que diz respeito aos sistemas de IA (por exemplo, para utilizar, desenvolver, monitorar ou fornecer
produtos ou serviços que utilizem IA). A IA, potencialmente, sucita considerações específicas, como:
— O uso de IA para tomada de decisão automática, às vezes de forma opaca e inexplicável, pode
exigir uma gestão específica além dos sistemas de gestão clássicos de TI.
— O uso de análise de dados, insight e aprendizado de máquina, em vez de lógica codificada por
humanos para projetar sistemas, aumenta as oportunidades de aplicação para sistemas de IA
e muda a maneira como tais sistemas são desenvolvidos, justificados e implantados.
— Os sistemas de IA que realizam aprendizado contínuo mudam seu comportamento durante o uso.
Eles exigem consideração especial para garantir que seu uso responsável continue mesmo com
essas mudanças comportamentais constantes.
Este documento fornece requisitos para estabelecer, implementar, manter e melhorar continuamente
um sistema de gestão de IA no contexto de uma organização. Espera-se que as organizações
concentrem a aplicação dos requisitos em recursos exclusivos da IA. Determinados recursos
da IA, como a capacidade de aprender continuamente e melhorar ou a falta de transparência
ou explicabilidade, podem justificar diferentes salvaguardas, se forem levantadas preocupações
adicionais em comparação com a forma como a tarefa seria tradicionalmente executada. A adoção
de um sistema de gestão de IA para ampliar as estruturas de gestão existentes é uma decisão
estratégica para uma organização.
As necessidades e objetivos da organização, os processos, a estrutura de tamanho e as expectativas

de várias partes interessadas influenciam o estabelecimento e a implementação do sistema de gestão
de IA. Outro conjunto de fatores que influenciam o estabelecimento e a implementação do sistema
de gestão de IA são os muitos casos de uso da IA e a necessidade de encontrar o equilíbrio adequado
entre os mecanismos de governança e inovação. As organizações podem optar por aplicar esses
requisitos a casos de uso de IA específicos e de alto risco, em vez de aplicar amplamente o sistema
de gestão de IA a todos os casos de uso, pois a aplicação ampla pode prejudicar outros objetivos
de negócios sem perceber quaisquer benefícios tangíveis ou levantar preocupações adicionais.
Espera-se que todos esses fatores de influência mudem e sejam revisados de tempos em tempos.
Convém que o sistema de gestão de IA esteja integrado com os processos da organização e com
a estrutura geral de gestão. Convém que questões específicas relacionadas à IA sejam consideradas
no desenho de processos, sistemas de informação e controles. Exemplos cruciais de tais processos
de gestão são:
— determinação dos objetivos da organização, participação das partes interessadas e política

organizacional;
— gestão de riscos e oportunidades;
— processos para gestão de questões relativas à fidedignidade dos sistemas de IA, como segurança,
justiça, transparência, qualidade dos dados e qualidade dos sistemas de IA ao longo de seu ciclo
de vida;

ABNT/CB-021
MAR 2024
— processos para gestão de fornecedores, parceiros e terceiros que forneçam ou desenvolvam

sistemas de IA para a organização.
Este documento fornece diretrizes para a implantação de controles aplicáveis que deem suporte
a esses processos.
Este documento evita orientações específicas sobre processos de gestão. A organização pode
combinar estruturas geralmente aceitas, outras normas internacionais e sua própria experiência para
implementar processos cruciais, como gestão de riscos, gestão do ciclo de vida e gestão da qualidade
dos dados que são apropriados para casos de uso específicos, produtos ou serviços no escopo da IA.
Uma organização que cumpra os requisitos deste documento pode gerar evidências de sua
responsabilidade e responsabilização em relação ao seu papel com respeito aos sistemas de IA.
A ordem em que os requisitos são apresentados neste documento não reflete sua importância
nem implica a ordem em são implementados. Os itens da lista são enumerados apenas para fins
de referência.
Compatibilidade com outras normas de sistema de gestão
Este documento aplica a estrutura harmonizada (números e títulos de seções idênticos, texto idêntico,
termos comuns e definições fundamentais) desenvolvida para aumentar o alinhamento entre normas
de sistemas de gestão [management system standards (MSS)]. O sistema de gestão de IA fornece
requisitos específicos para gerenciar questões e riscos relacionados ao uso da IA na organização.
A abordagem comum facilita a implementação e a consistência com outras normas de sistema
de gestão, por exemplo, relativas à qualidade, segurança física, segurança e privacidade.

ABNT/CB-021
MAR 2024
1 Escopo
Este documento especifica os requisitos e fornece orientações para estabelecer, implementar,

manter e melhorar continuamente um sistema de gestão de IA (inteligência artificial) no contexto
de uma organização.
Este documento destina-se ao uso por uma organização que forneça ou use produtos ou serviços
que utilizem sistemas de IA. Este documento ajuda a organização a desenvolver ou utilizar sistemas
de IA de forma responsável na busca de seus objetivos e atender aos requisitos aplicáveis, obrigações
relacionadas às partes interessadas e suas expectativas.
Este documento é aplicável a qualquer organização, independentemente do tamanho, tipo e natureza,

que forneça ou use produtos ou serviços que utilizem sistemas de IA.
2 Referência normativa
O documento a seguir é citado no texto de tal forma que seu conteúdo, total ou parcial, constitui
requisitos para este documento. Para referências datadas, aplicam-se somente as edições citadas.
Para referências não datadas, aplicam-se as edições mais recentes do referido documento
(incluindo emendas).
ABNT NBR ISO/IEC 22989:2023, Tecnologia da informação – Inteligência artificial – Conceitos

de inteligência artificial e terminologia
3 Termos e definições
Para os efeitos deste documento, aplicam-se os seguintes termos e definições.
A ISO e a IEC mantêm bases de dados terminológicos para uso na normalização nos seguintes
endereços:
— ISO Online browsing platform: disponível em: https://www.iso.org/obp
— IEC Electropedia: disponível em: http://www.electropedia.org/
3.1
organização
pessoa ou grupo de pessoas que tem suas próprias funções, com responsabilidades, autoridades
e relacionamentos para alcançar seus objetivos (3.6)
Nota 1 de entrada: O conceito de organização inclui, mas não é limitado a, empreendedor individual, companhia,
corporação, firma, empresa, autoridade, parceria, caridade ou instituição, ou parte ou combinação desses,
seja incorporada ou não, pública ou privada.
Nota 2 de entrada: Se a organização fizer parte de uma entidade maior, o termo “organização” refere-se
apenas à parte da entidade maior que está dentro do escopo do sistema de gestão de IA (3.4).
NÃO TEM VALOR NORMATIVO 1/60

ABNT/CB-021
MAR 2024
3.2
parte interessada (termo preferencial)
stakeholder (termo admitido)
pessoa ou organização (3.1) que pode afetar, ser afetada ou se perceber afetada por uma decisão
ou atividade
Nota 1 de entrada: Uma visão geral de partes interessadas em IA é fornecida na ABNT NBR ISO/IEC
22989:2023, 5.19.
3.3
Alta Direção
pessoa ou grupo de pessoas que dirige e controla uma organização (3.1) no mais alto nível
Nota 1 de entrada: A Alta Direção tem o poder de delegar autoridade e prover recursos na organização.
Nota 2 de entrada: Se o escopo do sistema de gestão (3.4) abranger apenas uma parte de uma organização,
então a Alta Direção se refere àqueles que dirigem e controlam aquela parte da organização.
3.4
sistema de gestão
conjunto de elementos inter-relacionados ou interativos de uma organização (3.1), para estabelecer
políticas (3.5) e objetivos (3.6), assim como processos (3.8), para alcançar esses objetivos
Nota 1 de entrada: Um sistema de gestão pode abordar uma única disciplina ou várias disciplinas.
Nota 2 de entrada: Os elementos do sistema de gestão incluem estrutura da organização, papéis e responsabilidades,
planejamento e operação.
3.5
política
intenções e direção de uma organização (3.1), como formalmente expressas pela sua Alta Direção (3.3)
3.6
objetivo
resultado a ser alcançado
Nota 1 de entrada: Um objetivo pode ser estratégico, tático ou operacional.
Nota 2 de entrada: Objetivos podem se relacionar a diferentes disciplinas (como finanças, saúde e segurança
e meio ambiente). Podem ser, por exemplo, de toda a organização ou específicos de um projeto, produto
ou processo (3.8).
Nota 3 de entrada: Um objetivo pode ser expresso de outras formas, por exemplo, como um resultado
pretendido, um propósito, um critério operacional, como um objetivo de IA ou pelo uso de outras palavras com
significado similar (por exemplo, finalidade, meta ou alvo).
Nota 4 de entrada: No contexto do sistema de gestão (3.4) de IA, objetivos de IA são estabelecidos pela
organização (3.1), coerentemente com a política (3.5) de IA, para alcançar resultados específicos.
3.7
risco
efeito da incerteza
Nota 1 de entrada: Um efeito é um desvio do esperado – positivo ou negativo.
2/60 NÃO TEM VALOR NORMATIVO

ABNT/CB-021
MAR 2024
Nota 2 de entrada: Incerteza é o estado, ainda que parcial, de deficiência de informação relacionada a um
evento, sua consequência ou probabilidade, ou deficiência de compreensão ou conhecimento de um evento,
sua consequência ou probabilidade.
Nota 3 de entrada: Risco é frequentemente caracterizado pela referência a “eventos” potenciais (como definido
no ISO Guide 73) e “consequências” (como definido no ISO Guide 73), ou uma combinação desses.
Nota 4 de entrada: Risco é frequentemente expresso em termos de uma combinação das consequências de um
evento (incluindo mudanças em circunstâncias) e a “probabilidade” associada (como definido no ISO Guide 73)
de ocorrência.
3.8
processo
conjunto de atividades inter-relacionadas ou interativas que usam ou transformam entradas para
entregar resultados
Nota 1 de entrada: Se o resultado de um processo for chamado de saída, o produto ou serviço depende
do contexto da referência.
3.9
competência
capacidade de aplicar conhecimento e habilidades para alcançar resultados pretendidos
3.10
informação documentada
informação que se requer que seja controlada e mantida por uma organização (3.1) e pelo meio no qual
ela está contida
Nota 1 de entrada: Informação documentada pode estar em qualquer formato ou meio, e pode ser proveniente
de qualquer fonte.
Nota 2 de entrada: Informação documentada pode se referir a:

— sistema de gestão (3.4), incluindo processos (3.8) relacionados;
— informação criada para a organização operar (documentação);
— evidência de resultados alcançados (registros).
3.11
desempenho
resultado mensurável
Nota 1 de entrada: Desempenho pode se relacionar tanto a constatações quantitativas como qualitativas.
Nota 2 de entrada: Desempenho pode se relacionar à gestão de atividades, processos (3.8), produtos
(incluindo serviços), sistemas ou organizações (3.1).
Nota 3 de entrada: No contexto deste documento, o desempenho refere-se tanto aos resultados alcançados
pelo uso de sistemas de IA quanto aos resultados relacionados ao sistema de gestão (3.4) de IA. A interpretação
correta do termo fica clara a partir do contexto de seu uso.
3.12
melhoria contínua
atividade recorrente para elevar o desempenho (3.11)

ABNT/CB-021
MAR 2024
3.13
eficácia
extensão na qual atividades planejadas são realizadas e resultados planejados são alcançados
3.14
requisito
necessidade ou expectativa que é declarada, geralmente implícita ou obrigatória
Nota 1 de entrada: “Geralmente implícita” significa que é costume ou prática comum para a organização (3.1)
e partes interessadas (3.2) que a necessidade ou expectativa sob consideração esteja implícita.
Nota 2 de entrada: Um requisito especificado é aquele que é declarado, por exemplo, em informação
documentada (3.10).
3.15
conformidade
atendimento de um requisito (3.14)
3.16
não conformidade
não atendimento de um requisito (3.14)
3.17
ação corretiva
ação para eliminar a(s) causa(s) de uma não conformidade (3.16) e para prevenir recorrência
3.18
auditoria
processo (3.8) sistemático, independente e documentado para obter evidência de auditoria e avalia-la
objetivamente para determinar a extensão na qual os critérios de auditoria são atendidos
Nota 1 de entrada: Uma auditoria pode ser uma auditoria interna (primeira parte) ou uma auditoria externa
(segunda parte ou terceira parte), e pode ser uma auditoria combinada (combinando duas ou mais disciplinas).
Nota 2 de entrada: Uma auditoria interna é conduzida pela própria organização (3.1) ou por uma parte
externa em seu nome.
Nota 3 de entrada: “Evidência de auditoria” e “critérios de auditoria” estão definidos na ABNT NBR ISO 19011.
3.19
medição
processo (3.8) para determinar um valor
3.20
monitoramento
determinação da situação de um sistema, um processo (3.8) ou uma atividade
Nota 1 de entrada: Para determinar a situação, pode haver a necessidade de verificar, supervisionar
ou observar criticamente.
3.21
controle
<risco> medida que mantém e/ou modifica o risco (3.7)
Nota 1 de entrada: Controles incluem, mas não estão limitados a, qualquer processo, política, dispositivo,
prática, ou outras condições e/ou ações que mantêm e/ou modificam o risco.

ABNT/CB-021
MAR 2024
Nota 2 de entrada: Controles podem nem sempre exercer o efeito modificador pretendido ou presumido.
Nota 3 de entrada: Esta definição é diferente da apresentada na ABNT NBR ISO/IEC 22989:2023.
[FONTE: ABNT NBR ISO 31000:2018, inclusão da Nota 3 de entrada e tag de domínio <risco>]
3.22
órgão diretivo
pessoa ou grupo de pessoas responsabilizadas pelo desempenho e conformidade da organização
Nota 1 de entrada: Nem todas as organizações, particularmente as pequenas, terão um corpo diretivo
separado da Alta Direção.
Nota 2 de entrada: Um órgão diretivo pode incluir, mas não está limitado a, conselho de administração,
comitês do conselho, conselho fiscal, curadores ou supervisores
[FONTE: ISO/IEC 38500:2015, 2.9, modificada - Notas de entrada incluídas].
3.23
segurança da informação
preservação da confidencialidade, integridade e disponibilidade da informação
Nota 1 de entrada: Outras propriedades, como autenticidade, responsabilidade, não repúdio e confiabilidade,
também podem estar envolvidas.
[FONTE: ISO/IEC 27000:2018, 3.28]
3.24
avaliação de impacto do sistema de IA
processo formal e documentado pelo qual os impactos para indivíduos (e grupos de indivíduos)
e sociedades são identificados, avaliados e tratados por uma organização que desenvolva, forneça
ou use produtos ou serviços utilizando inteligência artificial
3.25
qualidade dos dados
característica dos dados que atendem aos requisitos de dados da organização para um contexto
específico
[FONTE: ISO/IEC 5259-1:—1)), 3.4]
3.26
declaração de aplicabilidade
documento de todos os controles (3.23) necessários e justificativa para inclusão ou exclusão
de controles
Nota 1 de entrada: As organizações podem não requerer todos os controles listados no Anexo A ou podem
até exceder a lista no Anexo A com controles adicionais estabelecidos pela própria organização.
Nota 2 de entrada: Todos os riscos identificados devem ser documentados pela organização de acordo com
os requisitos deste documento. Todos os riscos identificados e as medidas de gestão de riscos (controles)
estabelecidas para abordá-lo devem ser refletidos na declaração de aplicabilidade.
1) Em desenvolvimento. Estágio no momento da publicação: ISO/IEC DIS 5259-1:2023.

ABNT/CB-021
MAR 2024
4 Contexto da organização
4.1 Entendendo a organização e seu contexto
A organização deve determinar questões externas e internas que sejam pertinentes para o seu
propósito e que afetem a sua capacidade de alcançar o(s) resultado(s) pretendidos do seu sistema
de gestão de IA.
A organização deve determinar se mudanças climáticas são questões relevantes.
A organização deve considerar o propósito pretendido dos sistemas de IA que são desenvolvidos,
fornecidos ou utilizados pela organização. A organização deve determinar seus papéis com relação
a esses sistemas de IA.
NOTA 1 Para compreender a organização e seu contexto, pode ser útil que a organização determine
seus papéis relativos ao sistema de IA. Estes papéis podem incluir, mas não estão limitados a, um ou mais
dos seguintes:
— provedores de IA, incluindo provedores de plataformas de IA, fornecedores de produtos ou serviços

de IA;
— produtores de IA, incluindo desenvolvedores de IA, projetistas de IA, operadores de IA, testadores
e avaliadores de IA, implementadores de IA, profissionais de fator humano de IA, especialistas
de domínio, avaliadores de impacto de IA, compradores, profissionais de governança e supervisão
de IA;
— clientes de IA, incluindo usuários de IA;
— parceiros de IA, incluindo integradores de sistemas de IA e provedores de dados;
— sujeitos de IA, incluindo titulares de dados, e outros sujeitos;
— autoridades competentes, incluindo formuladores de políticas e reguladores.
Uma descrição detalhada desses papéis é fornecida na ABNT NBR ISO/IEC 22989. Além disso,
os tipos de papéis e sua relação com o ciclo de vida do sistema de IA também são descritos na estrutura
de gestão de riscos de IA do NIST[29]. Os papéis da organização podem determinar a aplicabilidade
e a extensão da aplicabilidade dos requisitos e controles neste documento.
NOTA 2 As questões externas e internas a serem consideradas nesta Seção podem variar de acordo
com os papéis e jurisdição da organização e seu impacto na sua capacidade de alcançar o(s) resultado(s)
pretendido(s) de seu sistema de gestão de IA. Estes podem incluir, mas não estão limitados a:
a) considerações relacionadas ao contexto externo, como:
1) obrigações legais aplicáveis, incluindo usos proibidos de IA;
2) políticas, diretrizes e decisões de reguladores que tenham impacto na interpretação ou execução

de obrigações legais no desenvolvimento e uso de sistemas de IA;
3) incentivos ou consequências associados ao propósito pretendido e ao uso dos sistemas de IA;
4) cultura, tradições, valores, normas e ética em relação ao uso e desenvolvimento de IA;
5) cenário competitivo e tendências para novos produtos e serviços que utilizem sistemas de IA.

ABNT/CB-021
MAR 2024
b) considerações relacionadas ao contexto interno, como:
1) contexto organizacional, governança, objetivos (ver 6.2), políticas e procedimentos;
2) obrigações contratuais;
3) propósito pretendido dos sistemas de IA a serem utilizados ou desenvolvidos.

NOTA 3 A determinação de papéis pode ser formada por obrigações relacionadas a categorias de dados
que a organização processa (por exemplo, processador de DP ou controlador de DP ao tratar DP).
Ver ABNT NBR ISO/IEC 29100 para DP e funções relacionadas. As funções também podem ser informadas
por obrigações legais específicas para sistemas de IA.
4.2 Entendendo as necessidades e expectativas de partes interessadas

A organização deve determinar:
— as partes interessadas que sejam pertinentes para o sistema de gestão de IA;
— os requisitos pertinentes dessas partes interessadas;
— quais desses requisitos serão atendidos por meio do sistema de gestão de IA.
NOTA As partes interessadas relevantes podem ter requisitos relacionados com as alterações climáticas.
4.3 Determinando o escopo do sistema de gestão de IA

A organização deve determinar os limites e a aplicabilidade do sistema de gestão de IA para estabelecer
o seu escopo.
Ao determinar esse escopo, a organização deve considerar:
— as questões externas e internas referidas em 4.1;
— os requisitos referidos em 4.2.
O escopo deve estar disponível como informação documentada.
O escopo do sistema de gestão de IA deve determinar as atividades da organização em relação

aos requisitos deste documento sobre o sistema de gestão de IA, liderança, planejamento, suporte,
operação, desempenho, avaliação, melhoria, controles e objetivos.
4.4 Sistema de gestão de IA

A organização deve estabelecer, implementar, manter e melhorar continuamente e documentar
um sistema de gestão de IA, incluindo os processos necessários e suas interações, de acordo com
os requisitos deste documento.
5 Liderança
5.1 Liderança e comprometimento
A Alta Direção deve demonstrar liderança e comprometimento em relação ao sistema de gestão de IA:
— assegurando que a política de IA (ver 5.2) e os objetivos de IA (ver 6.2) sejam estabelecidos
e compatíveis com o direcionamento estratégico da organização;

ABNT/CB-021
MAR 2024
— assegurando a integração dos requisitos do sistema de gestão de IA nos processos de negócio

da organização;
— assegurando que os recursos necessários para o sistema de gestão de IA estejam disponíveis;
— comunicando a importância de uma gestão de IA eficaz e de estar conforme com os requisitos

do sistema de gestão de IA;
— assegurando que o sistema de gestão de IA alcance seus resultados pretendidos;
— dirigindo e apoiando pessoas a contribuir para a eficácia do sistema de gestão de IA;
— promovendo a melhoria contínua;
— apoiando outros papéis pertinentes para demonstrar sua liderança conforme aplicável às áreas
sob sua responsabilidade.
NOTA 1 Referência a “negócio” neste documento pode ser interpretada, de modo amplo, como aquelas
atividades centrais para os propósitos da existência da organização.
NOTA 2 Estabelecer, encorajar e modelar uma cultura dentro da organização, com o objetivo de assumir
uma abordagem responsável para utilização, desenvolvimento e governança de sistemas de IA pode ser uma
demonstração importante do comprometimento e da liderança da Alta Direção. Assegurar a conscientização
e o compliance com esta abordagem responsável e em apoio ao sistema de gestão de IA por meio da liderança
pode ajudar no sucesso do sistema de gestão de IA.
5.2 Política de IA
A Alta Direção deve estabelecer uma política de IA que:
a) seja apropriada ao propósito da organização;
b) proveja uma estrutura para o estabelecimento de objetivos de IA (ver 6.2);
c) inclua um comprometimento em satisfazer requisitos aplicáveis;
d) inclua um comprometimento com a melhoria contínua do sistema de gestão de IA.
A política de IA deve:
— estar disponível como informação documentada;
— referir-se como relevante para outras políticas organizacionais;
— ser comunicada na organização;
— estar disponível para partes interessadas, como apropriado.
Objetivos de controles e controles para estabelecer uma política de IA são fornecidos em A.2
na Tabela A.1. Orientações para implementação deste controle são fornecidas em B.2.
NOTA As recomendações para as organizações no desenvolvimento de políticas de IA são fornecidas

na ABNT NBR ISO/IEC 38507.

ABNT/CB-021
MAR 2024
5.3 Papéis, responsabilidades e autoridades
A Alta Direção deve assegurar que as responsabilidades e autoridades para papéis pertinentes sejam
atribuídas e comunicadas na organização.
A Alta Direção deve atribuir a responsabilidade e autoridade para:

a) assegurar que o sistema de gestão de IA esteja conforme os requisitos deste documento;
b) relatar o desempenho do sistema de gestão de IA para a Alta Direção.
NOTA Um controle para definir e alocar papéis e responsabilidades é fornecido em A.3.2 na Tabela A.1.
Orientações para implementação deste controle são fornecidas em B.3.2.
6 Planejamento
6.1 Ações para abordar riscos e oportunidades
6.1.1 Geral
Ao planejar o sistema de gestão de IA, a organização deve considerar as questões referidas em 4.1
e os requisitos referidos em 4.2, e determinar os riscos e oportunidades que precisam ser abordados para:
— assegurar que o sistema de gestão de IA possa alcançar seu(s) resultado(s) pretendido(s);
— prevenir ou reduzir efeitos indesejados;
— alcançar a melhoria contínua.
A organização deve estabelecer e manter critérios de risco de IA que permitam:
— distinguir os riscos aceitáveis dos não aceitáveis;
— realizar avaliações de risco de IA;
— realizar tratamento de risco de IA;
— avaliar os impactos dos riscos de IA.
NOTA 1 As considerações para determinar a quantidade e o tipo de risco que uma organização está
disposta a perseguir ou reter são fornecidas nas ABNT NBR ISO/IEC 38507 e ABNT NBR ISO/IEC 23894.
A organização deve determinar os riscos e oportunidades de acordo com:
— o domínio e o contexto de aplicação de um sistema de IA;
— o uso pretendido;
— o contexto externo e interno descrito em 4.1.
NOTA 2 Mais um de um sistema de IA pode ser considerado no escopo de um sistema de gestão

de IA. Neste caso, a determinação de oportunidades e usos é desempenhada para cada sistema de IA
ou agrupamentos de sistemas de IA.

ABNT/CB-021
MAR 2024
A organização deve planejar:
a) ações para abordar esses riscos e oportunidades;
b) como:
1) integrar e implementar as ações nos processos do seu sistema de gestão de IA;

2) avaliar a eficácia dessas ações.
A organização deve reter informação documentada sobre as ações tomadas para identificar e abordar
os riscos de IA e as oportunidades de IA.
NOTA 3 Orientações sobre como implementar a gestão de riscos para organizações que desenvolvam,
forneçam ou usem produtos, sistemas e serviços de IA são fornecidas na ABNT NBR ISO/IEC 23894.
NOTA 4 O contexto da organização e suas atividades podem ter impacto nas atividades de gestão de riscos
da organização.
NOTA 5 A forma de definir o risco e, portanto, de prever a gestão de riscos pode variar entre os setores
e as indústrias. A definição de risco de 3.7 permite uma visão ampla de risco adaptável a qualquer setor, como
os setores mencionados no Anexo D. Em qualquer caso, é o papel da organização, como parte da avaliação
de riscos, adotar primeiramente uma visão de risco adaptada ao seu contexto. Isso pode incluir a abordagem
do risco por meio de definições usadas em setores para os quais o sistema de IA seja desenvolvido e usado,
como a definição do Guia ISO/IEC 51.
6.1.2 Avaliação de riscos de IA
A organização deve definir e implementar um processo de avaliação de riscos de IA que:
a) seja informado e alinhado com a política de IA (ver 5.2) e os objetivos de IA (ver 6.2);
NOTA Ao avaliar as consequências como parte de 6.1.2 d) 1), a organização pode utilizar uma avaliação
de impacto do sistema de IA, como indicado em 6.1.4.
b) seja projetado de forma que avaliações de riscos de IA recorrentes possam produzir resultados
consistentes, válidos e comparáveis.
c) identifique riscos que auxiliem ou impeçam o alcance de seus objetivos de IA;
d) analise os riscos da IA para:
1) avaliar as potenciais consequências resultantes para a organização, os indivíduos e as sociedades

se os riscos identificados se materializassem;
2) avaliar, onde aplicável, a probabilidade realista dos riscos identificados;
3) determinar os níveis de risco.
e) avalie os riscos de IA para:
1) comparar os resultados da análise de riscos com os critérios de risco (6.1.1);
2) priorizar os riscos avaliados para o tratamento de riscos.
A organização deve reter informação documentada sobre o processo de avaliação de riscos de IA.

ABNT/CB-021
MAR 2024
6.1.3 Tratamento de riscos de IA
Considerando os resultados da avaliação de riscos, a organização deve definir e aplicar um processo

de tratamento de riscos de IA para:
a) selecionar opções apropriadas de tratamento de riscos de IA;

b) determinar todos os controles necessários para implementar a(s) opção(ões) de tratamento

de riscos de IA escolhida(s) e comparar os controles com os do Anexo A, para verificar se controles
necessários não foram omitidos;
NOTA 1 O Anexo A fornece controles de referência para o cumprimento dos objetivos organizacionais
e abordagem de riscos relacionados ao design e ao uso de sistemas de IA.
c) considerar os controles do Anexo A que sejam relevantes para a implementação das opções
de tratamento de riscos de IA;
d) identificar se controles adicionais são necessários, além dos previstos no Anexo A, para
implementar todas as opções de tratamentos de riscos;
e) considerar as orientações do Anexo B para implementação dos controles determinados em b) e c);
NOTA 2 Os objetivos de controle estão implicitamente incluídos nos controles escolhidos. A organização
pode selecionar um conjunto apropriado de objetivos de controles e controles listados no Anexo A. Os controles
do Anexo A não são exaustivos, e objetivos de controle e controles adicionais podem ser necessários.
Se forem necessários controles diferentes ou adicionais, além dos do Anexo A, a organização pode conceber
esses controles ou retomá-los a partir de fontes existentes. A gestão de riscos de IA pode ser integrada
a outros sistemas de gestão, se aplicável.
f) apresentar uma declaração de aplicabilidade que contenha os controles necessários [ver b) c)

e d)] e justificar a inclusão ou exclusão de tais controles. A justificativa da exclusão pode incluir
os casos em que os controles não sejam considerados necessários pela avaliação de riscos
e quando não forem exigidos (ou estiverem sujeitos a exceções) por requisitos externos aplicáveis.
NOTA 3 A organização pode fornecer justificativas documentadas para excluir quaisquer objetivos de controle
em geral ou para sistemas de IA específicos, sejam aqueles listados no Anexo A ou os estabelecidos pela
própria organização.
g) formular um plano de tratamento de riscos.
A organização deve obter aprovação da direção designada para o plano de tratamento de riscos de IA
e para aceitação dos riscos residuais de IA. Os controles necessários devem ser:
— alinhados aos objetivos referenciados em 6.2;
— disponibilizados como informação documentada;
— comunicados dentro da organização;
— disponibilizados para as partes interessadas, conforme apropriado.
A organização deve reter informação documentada sobre o processo de tratamento de risco de IA.

ABNT/CB-021
MAR 2024
6.1.4 Avaliação de impacto do sistema de IA
A organização deve definir um processo para avaliar as potenciais consequências para indivíduos
ou grupos de indivíduos, ou ambos, e para sociedades, que possam ser resultantes do desenvolvimento,
fornecimento ou uso de sistemas de IA.
A avaliação de impacto do sistema de IA deve determinar as potenciais consequências que a implantação

de um sistema de IA tem com seu uso pretendido, assim como um mau uso previsível sobre indivíduos,
grupos de indivíduos, ou ambos, e sobre as sociedades.
A avaliação de impacto deve considerar os contextos técnicos e sociais específicos em que o sistema
de IA estiver implantado e as jurisdições aplicáveis.
O resultado da avaliação de impacto do sistema de IA deve ser documentado. Onde for apropriado,
o resultado da avaliação de impacto pode ser disponibilizado às partes interessadas relevantes,
conforme definido pela organização.
A organização deve considerar os resultados da avaliação de impacto do sistema de IA em sua

avaliação de riscos (ver 6.1.2). A.5, na Tabela A.1 fornece controles para avaliar impactos de sistemas
de IA.
NOTA Em alguns contextos (como sistemas de IA críticos de segurança ou privacidade), a organização

pode exigir que avaliações de impacto do sistema de IA específicas da disciplina (por exemplo, impacto
na segurança ou na privacidade) sejam realizadas como parte das atividades gerais de gestão de risco
de uma organização.
6.2 Objetivos de IA e planejamento para alcançá-los
A organização deve estabelecer objetivos de IA nas funções e níveis pertinentes.
Os objetivos de IA devem:
a) ser consistentes com a política de IA (ver 5.2);
b) ser mensuráveis (se praticável);
c) considerar os requisitos aplicáveis;
d) ser monitorados;
e) ser comunicados;
f) ser atualizados como apropriado;
g) estar disponíveis como informação documentada.
Ao planejar como alcançar seus objetivos de IA, a organização deve determinar:
— o que será feito;
— quais recursos serão requeridos;
— quem será responsável;
— quando será concluído;

ABNT/CB-021
MAR 2024
— como os resultados serão avaliados.
NOTA No Anexo C é fornecida uma lista não exaustiva de objetivos de IA relacionados com a gestão
de riscos. Objetivos de controle e controles para identificação de objetivos de desenvolvimento responsável
e uso de sistemas de IA assim como as medidas para alcançá-los são fornecidos em A.6.1 e A.9.3
na Tabela A.1. Orientações para implementação destes controles são fornecidas em B.6.1 e B.9.3.
6.3 Planejamento de mudanças
Quando a organização determinar a necessidade de mudanças no sistema de gestão de IA,

as mudanças devem ser realizadas de forma planejada.
7 Apoio
7.1 Recursos
A organização deve determinar e fornecer os recursos necessários para o estabelecimento,

implementação, manutenção e melhoria contínua do sistema de gestão de IA.
NOTA Objetivos de controle e controles para recursos de IA são fornecidos em A.4 na Tabela A.1.
Orientações para implementação destes controles são fornecidas na Seção B.4.
7.2 Competência
A organização deve:
— determinar a competência necessária de pessoas que realizem trabalhos sob o seu controle,
que afetem seu desempenho de IA;
— assegurar que essas pessoas sejam competentes com base em educação, treinamento
ou experiência apropriados;
— onde aplicável, tomar ações para adquirir a competência necessária e avaliar a eficácia das
ações tomadas.
Informação documentada apropriada deve ser disponibilizada como evidência de competência.
NOTA 1 Orientações para implementação para recursos humanos, incluindo considerações sobre expertise
necessária, são fornecidas em B.4.6.
NOTA 2 Ações aplicáveis podem incluir, por exemplo, o fornecimento de treinamento, a mentorização
ou a mudança de atribuições de pessoas atualmente empregadas; ou podem empregar ou contratar pessoas
competentes.
7.3 Conscientização
Pessoas que realizam trabalhos sob o controle da organização devem estar conscientes:
— da política de IA (ver 5.2);
— da sua contribuição para a eficácia do sistema de gestão de IA, incluindo os benefícios

do desempenho melhorado da IA;
— das implicações de não estar conforme os requisitos do sistema de gestão de IA.

ABNT/CB-021
MAR 2024
7.4 Comunicação
A organização deve determinar as comunicações internas e externas pertinentes para o sistema

de gestão de IA, incluindo:
— o que ela irá comunicar;

— quando irá comunicar;
— a quem irá comunicar;
— como irá comunicar.
7.5 Informação documentada
7.5.1 Geral
O sistema de gestão de IA da organização deve incluir:
a) informação documentada requerida por este documento;
b) informação documentada determinada pela organização como sendo necessária para a eficácia
do sistema de gestão de IA.
NOTA A extensão da informação documentada para um sistema de gestão de IA pode diferir de uma
organização para outra devido:
— ao porte da organização e seu tipo de atividades, processos, produtos e serviços;
— à complexidade dos processos e suas interações;
— à competência de pessoas.
7.5.2 Criação e atualização de informação documentada
Ao criar e atualizar informação documentada, a organização deve assegurar apropriado:
— a identificação e descrição (por exemplo, um título, data, autor ou número de referência);
— o formato (por exemplo, linguagem, versão de software, gráficos) e a mídia (por exemplo,
papel, eletrônico);
— a revisão e aprovação quanto à aptidão e adequação.
7.5.3 Controle de informação documentada
Informação documentada requerida pelo sistema de gestão de IA e por este documento deve ser
controlada para assegurar que:
a) ela esteja disponível e adequada para uso, onde e quando ela for necessária;
b) ela esteja protegida adequadamente (por exemplo, contra perda de confidencialidade,

uso impróprio ou perda de integridade).

ABNT/CB-021
MAR 2024
Para o controle de informação documentada, a organização deve abordar as seguintes atividades,

como aplicável:
— distribuição, acesso, recuperação e uso;
— armazenamento e preservação, incluindo preservação de legibilidade;

— controle de alterações (por exemplo, controle de versão);
— retenção e disposição.
A informação documentada de origem externa, determinada pela organização como necessária

para o planejamento e a operação do sistema de gestão de IA, deve ser identificada de maneira
adequada e controlada.
NOTA O acesso pode implicar uma decisão relacionada à permissão apenas para visualizar a informação
documentada ou a permissão e autoridade para visualizar e alterar a informação documentada.
8 Operação
8.1 Planejamento e controle operacionais
A organização deve planejar, implementar e controlar os processos necessários para atender aos
requisitos e para implementar as ações determinadas na Seção 6:
— estabelecendo critérios para os processos;
— implementando controle de processos de acordo com critérios.
A organização deve implementar os controles determinados de acordo com 6.1.3 que estão
relacionados com a operação do sistema de gestão de IA (por exemplo, desenvolvimento de sistema
de IA e controles relacionados ao ciclo de vida de uso).
A eficácia desses controles deve ser monitorada e ações corretivas devem ser consideradas,
se os resultados pretendidos não forem alcançados. O Anexo A lista os controles de referência
e o Anexo B fornece orientações para a implementação deles.
Informação documentada deve estar disponível na medida necessária para haver confiança de que
os processos tenham sido conduzidos como planejado.
A organização deve controlar as mudanças planejadas e analisar criticamente as consequências

de mudanças não intencionais, tomando ações para mitigar quaisquer efeitos adversos, conforme
necessário.
A organização deve assegurar que os processos, produtos ou serviços terceirizados que sejam
relevantes para o sistema de gestão de IA sejam controlados.
8.2 Avaliação de riscos de IA
A organização deve realizar avaliações de risco de IA de acordo com 6.1.2 em intervalos planejados
ou quando mudanças significativas forem propostas ou simplesmente ocorrerem.
A organização deve reter informação documentada dos resultados de todas as avaliações de risco de IA.

ABNT/CB-021
MAR 2024
8.3 Tratamento de risco de IA
A organização deve implementar o plano de tratamento de riscos de IA de acordo com 6.1.3 e verificar
a sua eficácia.
Quando as avaliações de riscos identificarem novos riscos que requeiram tratamento, deve ser
executado um processo de tratamento de risco de acordo com 6.1.3 para esses riscos.
Quando as opções de tratamento de riscos, como definidas no plano de tratamento de riscos,

não forem eficazes, essas opções de tratamento devem ser reconsideradas após o processo
de tratamento do risco de acordo com 6.1.3, e o plano de tratamento do risco deve ser atualizado.
A organização deve reter informação documentada sobre os resultados de todos os tratamentos

de riscos de IA.
8.4 Avaliação de impacto do sistema de IA
A organização deve realizar avaliações de impacto do sistema de IA de acordo com 6.1.4, em intervalos
planejados ou quando for proposta a ocorrência de mudanças significativas.
A organização deve reter informação documentada sobre os resultados de todas as avaliações

de impacto do sistema de IA.
9 Avaliação de desempenho
9.1 Monitoramento, medição, análise e avaliação
A organização deve determinar:
— o que precisa ser monitorado e medido;
— os métodos para monitoramento, medição, análise e avaliação, quando aplicável, para assegurar
resultados válidos;
— quando o monitoramento e a medição devem ser realizados;
— quando os resultados de monitoramento e medição devem ser analisados e avaliados.
Informação documentada deve ser disponibilizada como evidência dos resultados.
A organização deve avaliar o desempenho e a eficácia do sistema de gestão de IA.
9.2 Auditoria interna
9.2.1 Geral
A organização deve realizar auditorias internas em intervalos planejados, para fornecer informação
se o sistema de gestão de IA:
a) está conforme:
1) os requisitos da própria organização para o seu sistema de gestão de IA;

ABNT/CB-021
MAR 2024
2) os requisitos deste documento;
b) está implementado e mantido de forma eficaz.
9.2.2 Programa de auditoria interna
A organização deve planejar, estabelecer, implementar e manter um programa de auditoria, incluindo

frequência, métodos, responsabilidades, requisitos de planejamento e relatórios.
Ao estabelecer o(s) programa(s) de auditoria interna, a organização deve considerar a importância

dos processos relativos e dos resultados de auditorias anteriores.
A organização deve:
a) definir os objetivos da auditoria, os critérios e o escopo para cada auditoria;
b) selecionar os auditores e conduzir as auditorias de forma a assegurar a objetividade e a imparcialidade

do processo de auditoria;
c) assegurar que os resultados das auditorias sejam relatados para a gerência pertinente.
Informação documentada deve ser disponibilizada como evidência da implementação do(s) programa(s)
de auditoria e dos resultados de auditoria.
9.3 Análise crítica pela direção
9.3.1 Geral
A Alta Direção deve analisar criticamente o sistema de gestão de IA da organização, em intervalos

planejados, para assegurar sua contínua aptidão, adequação e eficácia.
9.3.2 Entradas da análise crítica pela direção
A análise crítica pela direção deve incluir:
a) status de ações provenientes de análises críticas pela direção feitas anteriormente;
b) mudanças em questões externas e internas que sejam pertinentes para o sistema de gestão
de IA;
c) mudanças nas necessidades e expectativas das partes interessadas pertinentes ao sistema

de gestão de IA;
d) informação sobre o desempenho do sistema de gestão de IA, incluindo tendências em:
1) não conformidades e ações corretivas;
2) resultados de monitoramento e medição;
3) resultados de auditoria;
e) oportunidades para melhoria contínua.

ABNT/CB-021
MAR 2024
9.3.3 Resultados da análise crítica pela direção
Os resultados da análise crítica pela direção devem incluir decisões relacionadas a oportunidades
para melhoria contínua e qualquer necessidade de mudanças no sistema de gestão de IA.
Informação documentada deve ser disponibilizada como evidência dos resultados de análises críticas
pela direção.
10 Melhoria
10.1 Melhoria contínua
A organização deve melhorar continuamente a aptidão, adequação e eficiência do sistema de gestão

de IA.
10.2 Não conformidade e ação corretiva
Ao ocorrer uma não conformidade, a organização deve:
a) reagir à não conformidade e, quando aplicável:
1) tomar ação para controlá-la e corrigi-la;
2) lidar com as consequências;
b) avaliar a necessidade de ação para eliminar a(s) causa(s) da não conformidade, a fim de que ela
não se repita ou ocorra em outro lugar:
1) analisando criticamente a não conformidade;
2) determinando as causas da não conformidade;
3) determinando se não conformidades similares existem ou se poderiam potencialmente

ocorrer;
c) implementar qualquer ação necessária;
d) analisar criticamente a eficácia de qualquer ação corretiva tomada;
e) realizar mudanças no sistema de gestão de IA, se necessário.
Ações corretivas devem ser apropriadas aos efeitos das não conformidades encontradas.
Informação documentada deve ser disponibilizada como evidência:
— da natureza das não conformidades e de quaisquer ações subsequentes tomadas;
— dos resultados de qualquer ação corretiva.

ABNT/CB-021
MAR 2024
Anexo A
(normativo)
Objetivos de controle e controle de referência

A.1 Geral
Os controles detalhados na Tabela A.1 fornecem uma referência à organização quanto ao atendimento
de seus objetivos organizacionais e à abordagem dos riscos relacionados ao projeto e à operação
de sistemas de IA. Nem todos os objetivos de controle e os controles listados na Tabela A.1
necessitam ser utilizados, podendo a organização decidir planejar e implementar seus próprios
controles (ver 6.1.3).
O Anexo B fornece orientações para a implementação de todos os controles listados na Tabela A.1.
Tabela A.1 – Objetivos de controle e controles

A.2 Políticas relacionadas à IA
Objetivo: Fornecer orientação à gestão e suporte aos sistemas de IA de acordo com os requisitos
de negócios.
Tema Controle
A.2.2 Política de IA A organização deve documentar uma política para
o desenvolvimento ou uso de sistemas de IA.
A.2.3 Alinhamento com outras políticas A organização deve determinar a maneira como
organizacionais outras políticas podem ser afetadas ou aplicadas
aos objetivos organizacionais relacionados com
os sistemas de IA.
A.2.4 Análise crítica da política de IA A política de IA deve ser analisada criticamente
em intervalos planejados, ou conforme for
necessário, de maneira a garantir aptidão,
adequação e eficácia contínuas.
A.3 Organização interna
Objetivo: Estabelecer responsabilização dentro da organização para manter sua abordagem
responsável pela implementação, operação e gestão de sistemas de IA.
Tema Controle
A.3.2 Papéis e responsabilidades da IA Os papéis e responsabilidades da IA devem
ser definidos e alocados de acordo com as
necessidades da organização.
A.3.3 Relato de preocupações A organização deve definir e alocar um processo
para os funcionários da organização relatarem
preocupações sobre o papel da organização
em relação ao sistema de IA ao longo de seu ciclo
de vida.

ABNT/CB-021
MAR 2024
A.4 Recursos para os sistemas de IA

Objetivo: Assegurar que a organização se responsabilize pelos recursos (incluindo os
componentes e ativos do sistema de IA) do sistema de IA, a fim de compreender completamente
os riscos e impactos e endereçá-los.
Tema Controle
A.4.2 Documentação de recursos A organização deve identificar e documentar

os recursos pertinentes necessários para as
atividades em determinados estágios do ciclo
de vida do sistema de IA e outras atividades
relacionadas à IA relevantes para a organização.
A.4.3 Recursos de dados Como parte da identificação de recursos, a
organização deve documentar informações sobre
os recursos de dados utilizados para o sistema de
IA.
A.4.4 Recursos de ferramentas Como parte da identificação de recursos, a
os recursos de ferramentas utilizados para o
sistema de IA.
A.4.5 Sistema e recursos Como parte da identificação de recursos, a
computacionais organização deve documentar as informações
sobre o sistema e os recursos computacionais
utilizados para o sistema de IA.
A.4.6 Recursos humanos Como parte da identificação de recursos, a
os recursos humanos e suas competências
utilizadas no desenvolvimento, implantação,
operação, gestão de mudança, manutenção,
transferência e decomissionamento, bem como na
verificação e integração do sistema de IA.
A.5 Avaliação dos impactos dos sistemas de IA
Objetivo: Avaliar os impactos do sistema de IA em indivíduos ou grupos de indivíduos, ou ambos,
e nas sociedades afetadas pelo sistema da IA ao longo de seu ciclo de vida.
Tema Controle
A.5.2 Processo de avaliação de impacto A organização deve avaliar as potenciais
do sistema de IA consequências para indivíduos ou grupos de
indivíduos, ou ambos, e para sociedades, que
podem resultar dos sistemas de IA ao longo do
seu ciclo de vida.
A.5.3 Documentação das avaliações de A organização deve documentar os resultados das
impacto do sistema de IA avaliações de impacto do sistema de IA e reter os
resultados por um período definido
A.5.4 Avaliação do impacto do sistema A organização deve avaliar e documentar os
de IA em indivíduos e grupos de impactos potenciais dos sistemas de IA para
indivíduos indivíduos ou grupos de indivíduos ao longo do
ciclo de vida do sistema.

ABNT/CB-021
MAR 2024
A.5.5 Avaliação dos impactos sociais de A organização deve avaliar e documentar os

sistemas de IA potenciais impactos sociais dos seus sistemas de
IA ao longo do seu ciclo de vida.
A.6 Ciclo de vida do sistema de IA
A.6.1 Orientações da direção para o desenvolvimento de sistemas de IA
Objetivo: Assegurar que a organização identifique e documente os objetivos e implemente os

processos para o projeto e desenvolvimento responsáveis de sistemas de IA.
Tema Controle
A.6.1.2 Objetivos para o desenvolvimento A organização deve identificar e documentar
responsável de sistemas de IA os objetivos para orientar o desenvolvimento
responsável de sistemas de IA, considerar esses
objetivos e integrar as medidas para alcançá-los
no ciclo de vida de desenvolvimento.
A.6.1.3 Processos para projeto e A organização deve definir e documentar
desenvolvimento responsáveis de os processos específicos para o projeto e
sistemas de IA desenvolvimento responsáveis do sistema de IA.
A.6.2 Ciclo de vida do sistema de IA
Objetivo: Definir os critérios e requisitos para cada estágio do ciclo de vida do sistema de IA.
Tema Controle
A.6.2.2 Requisitos e especificações do A organização deve especificar e documentar os
sistema de IA requisitos para novos sistemas de IA ou melhorias
materiais para os sistemas existentes.
A.6.2.3 Documentação de projeto e A organização deve documentar o projeto
desenvolvimento de sistemas de e o desenvolvimento do sistema de IA com
IA base em objetivos organizacionais, requisitos
documentados e critérios de especificação.
A.6.2.4 Verificação e validação do sistema A organização deve definir e documentar as
de IA medidas de verificação e validação para o
sistema de IA e especificar os critérios para a sua
utilização.
A.6.2.5 Implantação do sistema de IA A organização deve documentar um plano de
implantação e assegurar que os requisitos
apropriados sejam atendidos antes da
implantação.
A.6.2.6 Operação e monitoramento do A organização deve definir e documentar
sistema de IA os elementos necessários para a operação
contínua do sistema de IA. No mínimo, convém
que isso inclua monitoramento do sistema e do
desempenho, reparos, atualizações e suporte.

ABNT/CB-021
MAR 2024
A.6.2.7 Documentação técnica do sistema A organização deve determinar qual

de IA documentação técnica do sistema de IA é
necessária para cada categoria relevante de
partes interessadas, como usuários, parceiros
e autoridades supervisoras, e fornecer a
documentação técnica a eles de forma apropriada.
A.6.2.8 Registro de logs de eventos do A organização deve determinar em quais fases do

sistema de IA ciclo de vida do sistema de IA convém habilitar a
manutenção dos registros de log de eventos, mas
no mínimo quando o sistema de IA estiver em uso.
A.7 Dados para sistemas de IA
Objetivo: Assegurar que a organização compreenda o papel e os impactos dos dados em
sistemas de IA na aplicação e desenvolvimento, fornecimento ou uso de sistemas de IA ao longo
de seus ciclos de vida.
Tema Controle
A.7.2 Dados para desenvolvimento e A organização deve definir, documentar e
aprimoramento do sistema de IA implementar processos de gestão de dados
relacionados com o desenvolvimento de sistemas
de IA.
A.7.3 Aquisição de dados A organização deve determinar e documentar os
detalhes sobre a aquisição e seleção dos dados
usados em sistemas de IA.
A.7.4 Qualidade dos dados para A organização deve definir e documentar os
sistemas de IA requisitos de qualidade dos dados e assegurar
que os dados usados para desenvolver e operar o
sistema de IA atendam a esses requisitos.
A.7.5 Proveniência dos dados A organização deve definir e documentar um
processo para verificar e registrar a proveniência
dos dados usados em seus sistemas de IA ao
longo dos ciclos de vida dos dados e do sistema
de IA.
A.7.6 Preparação dos dados A organização deve definir e documentar seus
critérios para seleção de preparação de dados
e os métodos de preparação de dados a serem
utilizados.
A.8 Informações para as partes interessadas em sistemas de IA
Objetivo: Assegurar que as partes interessadas relevantes disponham das informações
necessárias para compreender e avaliar os riscos e os seus impactos (positivos e negativos).
Tema Controle
A.8.2 Documentação do sistema e A organização deve determinar e fornecer as
informação para usuários informações necessárias aos usuários do sistema.
A.8.3 Relatórios externos A organização deve fornecer recursos para as
partes interessadas relatarem impactos adversos
do sistema de IA.

ABNT/CB-021
MAR 2024
A.8.4 Comunicação de incidentes A organização deve determinar e documentar um

plano de comunicação de incidentes aos usuários
do sistema de IA.
A.8.5 Informação às partes interessadas A organização deve determinar e documentar
suas obrigações de relatar informações sobre o
sistema de IA às partes interessadas.

A.9 Uso de sistemas de IA
Objetivo: Assegurar que a organização use sistemas de IA de forma responsável e de acordo com
as políticas organizacionais.
A.9.2 Processos para uso responsável A organização deve definir e documentar os
de sistemas de IA processos para o uso responsável dos sistemas
de IA.
A.9.3 Objetivos para o uso responsável A organização deve identificar e documentar
de sistemas de IA os objetivos para orientar o uso responsável de
sistemas de IA.
A.9.4 Uso pretendido do sistema de IA A organização deve assegurar que o sistema de
IA seja usado de acordo com os usos pretendidos
do sistema de IA e com a documentação que o
acompanha.
A.10 Relacionamento com clientes e terceiros
Objetivo: Assegurar que a organização compreenda suas responsabilidades e permaneça
responsabilizada por elas, e que riscos sejam repartidos de forma adequada quando terceiros
estiverem envolvidos em qualquer fase do ciclo de vida do sistema de IA.
Tema Controle
A.10.2 Atribuição de responsabilidades A organização deve assegurar que as
responsabilidades dentro de seu ciclo de vida
do sistema de IA sejam atribuídas entre a
organização, seus parceiros, fornecedores,
clientes e terceiros.
A.10.3 Fornecedores A organização deve estabelecer um processo
para assegurar que o uso de serviços, produtos
ou materiais providos por fornecedores esteja
alinhado com a abordagem da organização para o
desenvolvimento e uso responsáveis de sistemas
de IA.
A.10.4 Clientes A organização deve assegurar que sua
abordagem responsável para o desenvolvimento e
uso de sistemas de IA considere as expectativas e
necessidades dos clientes.

ABNT/CB-021
MAR 2024
Anexo B
(normativo)
Orientações para implementação de controles de IA

B.1 Geral
As orientações para implementação documentadas neste Anexo referem-se aos controles
apresentados na Tabela A.1. Este Anexo fornece informações para apoiar a implementação dos
controles apresentados na Tabela A.1 e para atender ao objetivo do controle, mas as organizações
não precisam documentar ou justificar a inclusão ou exclusão de orientação para implementação
na declaração de aplicabilidade (ver 6.1.3).
A orientação para implementação nem sempre é adequada ou suficiente em todas as situações,

bem como nem sempre atende aos requisitos de controle específicos da organização. A organização
pode estender ou modificar uma orientação ou definir sua própria orientação para implementação
de um controle de acordo com seus requisitos específicos e necessidades de tratamento de risco.
Este Anexo deve ser utilizado como orientação para determinar e implementar controles para
o tratamento de riscos de IA no sistema de gestão de IA definido neste documento. Os controles
organizacionais e técnicos adicionais que não os incluídos neste Anexo podem ser determinados
(ver tratamento de riscos no sistema de gestão de IA em 6.1.3). Este Anexo pode ser considerado
um ponto de partida para o desenvolvimento de implementação de controles específicos da organização.
B.2 Políticas relacionadas à IA
B.2.1 Objetivo
Fornecer direção e suporte da gestão para sistemas de IA de acordo com os requisitos do negócio.
B.2.2 Política de IA
Controle
Convém que a organização documente a política para o desenvolvimento ou uso de sistemas de IA.
Orientações para implementação
Convém que a política de IA seja informada por:
— estratégia de negócio;
— valores e cultura organizacional e quantidade de riscos que a organização está disposta

a perseguir ou reter;
— nível de risco representado pelos sistemas de IA;
— requisitos legais, incluindo os por força de contrato;

ABNT/CB-021
MAR 2024
— ambiente de risco da organização;
— impacto para as partes interessadas relevantes (ver 6.1.4).
Convém que a política de IA inclua (além dos requisitos de 5.2):
— princípios que norteiem todas as atividades da organização relacionadas à IA;

— processos de tratamento de desvios e exceções à política.
Convém que a política de IA considere aspectos específicos do tópico, quando for necessário
para fornecer orientação adicional ou fornecer referências cruzadas a outras políticas que lidem com
esses aspectos. Exemplos de tais tópicos incluem:
— recursos e ativos de IA;
— avaliações de impacto do sistema de IA (ver 6.1.4);
— desenvolvimento de sistemas de IA.
Convém que políticas pertinentes orientem o desenvolvimento, a compra, a operação e o uso

de sistemas de IA.
B.2.3 Alinhamento com outras políticas organizacionais
Controle
Convém que a organização determine onde outras políticas podem ser afetadas ou aplicadas
a objetivos em relação aos sistemas de IA.
Muitos domínios se cruzam com a IA, incluindo qualidade, segurança, segurança física e privacidade.
Convém que a organização considere uma análise completa para determinar se e onde as políticas
atuais podem necessariamente se cruzar e atualize essas políticas se as atualizações forem
necessárias ou inclua provisões na política de IA.
Outras informações
Convém que as políticas que o órgão diretivo define em nome da organização informem a política
de IA. A ABNT NBR ISO/IEC 38507 fornece orientações para que os membros do órgão diretivo
de uma organização habilitem e governem o sistema de IA durante todo o seu ciclo de vida.
B.2.4 Análise crítica da política de IA
Controle
Convém que a política de IA seja analisada criticamente a intervalos planejados ou adicionalmente,

conforme necessário, para assegurar sua contínua aptidão, adequação e eficácia.
Convém que um papel aprovado pela direção seja responsável pelo desenvolvimento, análise crítica

ABNT/CB-021
MAR 2024
e avaliação da política de IA ou dos componentes nela contidos. Convém que análise crítica inclua
a avaliação de oportunidades de melhoria das políticas e da abordagem da organização para gerenciar
sistemas de IA em resposta a mudanças no ambiente organizacional, circunstâncias de negócios,
condições legais ou ambiente técnico.
Convém que a análise crítica da política de IA considere os resultados das análises críticas
pela direção.
B.3 Organização interna
B.3.1 Geral
Objetivo
Estabelecer responsabilização dentro da organização para manter sua abordagem responsável

pela implementação, operação e gestão de sistemas de IA.
B.3.2 Papéis e responsabilidades da IA
Controle
Convém que os papéis e responsabilidades da IA sejam definidos e alocados de acordo com

as necessidades da organização.
Definir papéis e responsabilidades é fundamental para assegurar a responsabilização de toda

a organização por seu papel em relação ao sistema de IA ao longo do seu ciclo de vida. Convém
que a organização considere as políticas e os objetivos de IA, e identifique riscos ao atribuir papéis
e responsabilidades, a fim de assegurar que todas as áreas pertinentes sejam contempladas.
A organização pode priorizar como os papéis e as responsabilidades são atribuídos. Exemplos
de áreas que podem requerer papéis e responsabilidades definidos podem incluir:
— gestão de riscos;
— avaliações de impacto do sistema de IA;
— gestão de ativos e recursos;
— segurança;
— segurança física;
— privacidade;
— desenvolvimento;
— desempenho;
— supervisão humana;
— relações com fornecedores;

ABNT/CB-021
MAR 2024
— demonstração de sua capacidade para cumprir de forma coerente os requisitos legais;
— gestão da qualidade dos dados (durante todo o ciclo de vida).
Convém que as responsabilidades dos vários papéis sejam definidas ao nível adequado para o(s)
indivíduo(s) desempenhar(em) as suas funções.
B.3.3 Relato de preocupações
Controle
Convém que a organização defina e coloque em prática um processo para o relato de preocupações
sobre o papel da organização em relação a um sistema de IA ao longo de seu ciclo de vida.
Convém que o mecanismo de comunicação de informações desempenhe as seguintes funções:
a) forneça opções de confidencialidade ou anonimato, ou ambas;
b) seja disponível e promovido a empregados e contratados;
c) conte com pessoal qualificado;
d) estipule poderes adequados de investigação e resolução para as pessoas referidas na alínea c);
e) forneça mecanismos para reportar e escalar casos à direção em tempo hábil;
f) forneça uma proteção eficaz contra represálias, tanto para as pessoas envolvidas na denúncia
como na investigação (por exemplo, permitindo que as denúncias sejam feitas de forma anônima
e confidencial);
g) forneça relatórios de acordo com 4.4 e, se for o caso, com a alínea e), mantendo a confidencialidade
e anonimato da alínea a) e respeitando considerações gerais de confidencialidade de negócio;
h) forneça mecanismos de resposta dentro de um prazo apropriado.
NOTA A organização pode utilizar os mecanismos de relato existentes como parte desse processo.
Além das orientações para implementação fornecidas nesta Seção, convém que a organização
considere ainda a ABNT NBR ISO 37002.
B.4 Recursos para os sistemas de IA
B.4.1 Objetivo
Assegurar que a organização contabilize os recursos (incluindo componentes e ativos do sistema

de IA) do sistema de IA, a fim de compreender e abordar completamente os riscos e impactos.

ABNT/CB-021
MAR 2024
B.4.2 Documentação de recursos
Controle
Convém que a organização identifique e documente os recursos relevantes necessários para

as atividades em determinados estágios do ciclo de vida do sistema de IA e outras atividades
relacionadas à IA relevantes para a organização.
A documentação dos recursos do sistema de IA é fundamental para entender os riscos, bem como
os potenciais impactos do sistema de IA (positivos e negativos) para indivíduos ou grupos de indivíduos,
ou ambos, e para as sociedades. A documentação de tais recursos (que pode utilizar, por exemplo,
diagramas de fluxo de dados ou diagramas de arquitetura de sistema) pode informar as avaliações
de impacto do sistema de IA (ver B.5).
Os recursos podem incluir, mas não estão limitados a:
— componentes do sistema de IA;
— recursos de dados, isto é, dados utilizados em qualquer fase do ciclo de vida do sistema de IA;
— recursos de ferramentas (por exemplo, algoritmos, modelos ou ferramentas de IA);
— recursos de sistema e computação (por exemplo, hardware para desenvolver e executar modelos
de IA, armazenamento de dados e recursos de ferramentas);
— recursos humanos, ou seja, pessoas com a expertise necessária (por exemplo, para
o desenvolvimento, vendas, treinamento, operação e manutenção do sistema de IA) em relação
ao papel da organização durante todo o ciclo de vida do sistema de IA.
Os recursos podem ser fornecidos pela própria organização, por seus clientes ou por terceiros.
A documentação de recursos também pode ajudar a determinar se os recursos estão disponíveis

e, se não estiverem, convém que a organização revise a especificação do projeto do sistema de IA
ou seus requisitos de implantação.
B.4.3 Recursos de dados
Controle
Como parte da identificação de recursos, convém que a organização documente informações sobre
os recursos de dados utilizados para o sistema de IA.
Convém que a documentação sobre dados inclua, mas não se limite a, os seguintes tópicos:
— proveniência dos dados;
— data em que os dados foram atualizados ou modificados pela última vez (por exemplo, etiqueta
de data nos metadados);

ABNT/CB-021
MAR 2024
— categorias de dados, para o aprendizado de máquina (por exemplo, dados de treinamento,

validação, teste e produção);
— categorias de dados (por exemplo, como definido na ISO/IEC 19944-1);
— processo de rotulagem dos dados;

— utilização prevista dos dados;
— qualidade dos dados (por exemplo, como descrito na série ISO/IEC 52592));
— políticas aplicáveis de retenção e descarte de dados;
— questões de viesamento conhecidas ou potenciais nos dados;
— preparação de dados.
B.4.4 Recursos de ferramentas
Controle
os recursos de ferramentas utilizados para o sistema de IA.
Os recursos de ferramentas para um sistema de IA e, particularmente, para o aprendizado de máquina,

podem incluir, mas não se limitam a:
— tipos de algoritmos e modelos de aprendizado de máquina;
— ferramentas ou processos de condicionamento de dados;
— métodos de otimização;
— métodos de avaliação;
— ferramentas de provisionamento de recursos;
— ferramentas de auxílio ao desenvolvimento de modelos;
— software e hardware para projeto, desenvolvimento e implementação de sistemas de IA.
A ISO/IEC 23053 fornece orientação detalhada sobre os tipos, métodos e abordagens para vários
recursos de ferramentas para aprendizado de máquina.
2) Em elaboração. Estágio no momento da publicação: ISO/IEC FDIS 5259-1:2024, ISO/IEC DIS 5259-2:2024,
ISO/IEC FDIS 5259-3:2024, ISO/IEC FDIS 5259-4:2024, ISO/IEC DIS 5259-5:2024, ISO/IEC CD TR 5259-6:2024.

ABNT/CB-021
MAR 2024
B.4.5 Sistemas e recursos computacionais

Controle
o sistema e os recursos computacionais utilizados para o sistema de IA.
As informações sobre o sistema e os recursos computacionais para um sistema de IA podem incluir,

mas não se limitam a:
— requisitos de recursos do sistema de IA (isto é, para ajudar a assegurar que o sistema possa
ser executado em dispositivos de recursos restritos);
— onde o sistema e os recursos computacionais estão localizados (por exemplo, no local,

cloud computing ou edge computing);
— recursos de processamento (incluindo rede e armazenamento);
— impacto do hardware usado para executar as cargas de trabalho do sistema de IA (por exemplo,
o impacto no ambiente, tanto pelo uso quanto pela fabricação do hardware ou pelo custo
da utilização do hardware).
Convém que a organização considere que diferentes recursos podem ser necessários para permitir
a melhoria contínua dos sistemas de IA. O desenvolvimento, a implantação e a operação do sistema
podem ter diferentes necessidades e requisitos do sistema.
NOTA A ABNT NBR ISO/IEC 22989 descreve várias considerações sobre os recursos do sistema.
B.4.6 Recursos humanos

Controle
Como parte da identificação de recursos, convém que a organização documente informações

sobre os recursos humanos e suas competências utilizados para o desenvolvimento, implantação,
operação, gestão de mudanças, manutenção, transferência e descomissionamento, bem como sobre
a verificação e integração do sistema de IA.
Convém que a organização considere a necessidade de expertises diversas e inclua os tipos de funções
necessárias para o sistema. Por exemplo, a organização pode incluir grupos demográficos específicos
relacionados a conjuntos de dados usados para treinar modelos de aprendizado de máquina, se esse
for um componente necessário do projeto do sistema. Os recursos humanos necessários podem
incluir, mas não se limitam a:
— cientistas de dados;
— papéis relacionados à supervisão humana de sistemas de IA;
— especialistas em tópicos de fidedignidade, como segurança física, segurança e privacidade
— pesquisadores e especialistas em IA e especialistas em domínios relevantes para os sistemas de IA.
Diferentes recursos podem ser necessários em diferentes estágios do ciclo de vida do sistema de IA.

ABNT/CB-021
MAR 2024
B.5 Avaliação dos impactos dos sistemas de IA
B.5.1 Objetivo
Avaliar os impactos do sistema de IA para os indivíduos ou grupos de indivíduos, ou ambos, e para

as sociedades, afetados pelo sistema de IA ao longo de seu ciclo de vida.
B.5.2 Processo de avaliação de impacto do sistema de IA
Controle
Convém que a organização estabeleça um processo de avaliação das potenciais consequências

para os indivíduos ou grupos de indivíduos, ou ambos, e para as sociedades, que resultariam
do sistema de IA ao longo de seu ciclo de vida.
Como os sistemas de IA potencialmente geram impacto significativo para os indivíduos ou grupos

de indivíduos, ou ambos, e para as sociedades, convém que a organização que fornece e utiliza tais
sistemas considere o propósito pretendido e o uso desses sistemas, bem como os impactos desses
sistemas nesses grupos.
Convém que a organização considere se o sistema de IA afeta:
— a posição jurídica ou as oportunidades de vida dos indivíduos;
— o bem-estar físico ou psicológico dos indivíduos;
— os direitos humanos universais;
— as sociedades.
Convém que os procedimentos da organização incluam, mas não estejam limitados a:
a) circunstâncias nas quais convém que uma avaliação de impacto do sistema de IA seja realizada,
que podem incluir, mas não se limitam a:
1) criticidade do propósito pretendido e do contexto em que o sistema de IA é usado ou quaisquer

mudanças significativas neles;
2) complexidade da tecnologia de IA e nível de automação dos sistemas de IA ou quaisquer

mudanças significativas neles;
3) sensibilidade dos tipos e fontes de dados processados pelo sistema de IA ou quaisquer

mudanças significativas nelas;
b) elementos que fazem parte do processo de avaliação de impacto do sistema de IA, que podem incluir:
1) identificação (por exemplo, fontes, eventos e resultados);
2) análise (por exemplo, consequências e probabilidades);
3) avaliação (por exemplo, decisões de aceitação e priorização);

ABNT/CB-021
MAR 2024
4) tratamento (por exemplo, medidas de mitigação);
5) documentação, relatórios e comunicação (ver 7.4, 7.5 e B.3.3);
c) quem desempenha a avaliação de impacto do sistema de IA;
d) como a avaliação de impacto do sistema de IA pode ser utilizada (por exemplo, como ela
pode informar o projeto ou o uso do sistema (ver B.6 e B.8), se pode desencadear análises
críticas e aprovações);
e) indivíduos e sociedades que são potencialmente impactados com base no propósito pretendido
do sistema, uso e características (por exemplo, avaliação de indivíduos, grupos de indivíduos
ou sociedades).
Convém que a avaliação de impacto considere elementos do sistema de IA, incluindo os dados
usados para o desenvolvimento do sistema de IA, das tecnologias de IA usadas e da funcionalidade
do sistema geral.
Os processos podem variar com base no papel da organização e no domínio da aplicação de IA,
dependendo das disciplinas específicas para as quais o impacto é considerado (por exemplo,
segurança, privacidade e segurança física).
Para algumas disciplinas ou organizações, a consideração detalhada do impacto sobre os indivíduos

ou grupos de indivíduos, ou ambos, e sobre as sociedades faz parte da gestão de riscos, particularmente
em disciplinas como segurança da informação, segurança física e gestão ambiental. Convém que
a organização determine se as avaliações de impacto específicas de uma disciplina realizadas
como parte desse processo de gestão de riscos integram suficientemente as considerações de IA,
para aqueles aspectos específicos (por exemplo, privacidade).
NOTA A ABNT NBR ISO/IEC 23894 descreve como uma organização pode realizar análises de impacto para
a própria organização, juntamente com os indivíduos ou grupos de indivíduos, ou ambos, e com as sociedades,
como parte de um processo geral de gestão de riscos.
B.5.3 Documentação das avaliações de impacto do sistema de IA

Controle
Convém que a organização documente os resultados das avaliações de impacto do sistema de IA

e mantenha os resultados por um período especificado.
A documentação pode ser útil para determinar as informações que convém que sejam comunicadas
aos usuários e outras partes interessadas.
Convém que as avaliações de impacto do sistema de IA sejam mantidas e atualizadas, conforme

necessário, em alinhamento com os elementos de uma avaliação de impacto do sistema de IA,
documentados em B.5.2. Os períodos de retenção podem seguir os cronogramas de retenção
da organização ou ser informados por requisitos legais ou outros requisitos.
Os itens que convém que a organização considere documentar podem incluir, mas não estão limitados a:
— uso pretendido, assim como qualquer uso indevido razoável e previsível do sistema de IA;

ABNT/CB-021
MAR 2024
— impactos positivos e negativos do sistema de IA para os indivíduos ou grupos de indivíduos,

ou ambos, e para as sociedades relevantes;
— falhas previsíveis, seus impactos potenciais e medidas tomadas para mitigá-las;
— grupos demográficos relevantes aos quais o sistema é aplicável;

— complexidade do sistema;
— papel dos seres humanos nas relações com o sistema, incluindo as capacidades, processos
e ferramentas de supervisão humana, disponíveis para evitar impactos negativos;
— emprego e qualificação do pessoal.
B.5.4 Avaliação do impacto do sistema de IA em indivíduos e grupos de indivíduos
Controle
Convém que a organização avalie e documente os impactos potenciais dos sistemas de IA para
indivíduos ou grupos de indivíduos ao longo do ciclo de vida do sistema.
Ao avaliar os impactos para os indivíduos ou grupos de indivíduos, ou ambos, convém que

a organização considere seus princípios de governança, políticas e objetivos de IA. Indivíduos que
usam o sistema de IA ou cujos DP são tratados pelo sistema de IA, podem ter expectativas relacionadas
à fidedignidade do sistema de IA. Convém que necessidades específicas de proteção de grupos,
como crianças, pessoas com deficiência, idosos e trabalhadores, sejam consideradas. Convém que
a organização avalie essas expectativas e considere os meios para abordá-las como parte da avaliação
de impacto do sistema.
Dependendo do escopo da finalidade e do uso do sistema de IA, as áreas de impacto a serem

consideradas parte da avaliação podem incluir, mas não estão limitadas a:
— equidade;
— responsabilização;
— transparência e explicabilidade;
— segurança e privacidade;
— segurança física e saúde;
— consequências financeiras;
— acessibilidade;
— direitos humanos.
Onde necessário, convém que a organização consulte peritos (por exemplo, investigadores, especialistas
no assunto ou utilizadores) para obter uma compreensão completa dos potenciais impactos do sistema
nos indivíduos ou grupos de indivíduos, ou ambos, e nas sociedades.

ABNT/CB-021
MAR 2024
B.5.5 Avaliação dos impactos sociais dos sistemas de IA
Controle
Convém que a organização avalie e documente os potenciais impactos sociais de seus sistemas
de IA ao longo de seu ciclo de vida.
Os impactos sociais podem variar muito, dependendo do contexto da organização e dos tipos
de sistemas de IA. Os impactos sociais dos sistemas de IA podem ser benéficos e prejudiciais.
Exemplos desses potenciais impactos sociais podem incluir:
— sustentabilidade ambiental (incluindo os impactos nos recursos naturais e nas emissões de gases
de efeito estufa);
— econômica (incluindo o acesso aos serviços financeiros, às oportunidades de emprego, aos impostos,
ao intercâmbio e ao comércio);
— governo (incluindo processos legislativos, desinformação para ganhos políticos, segurança

nacional e sistemas de justiça criminal);
— saúde e segurança física (incluindo o acesso aos cuidados de saúde, diagnóstico e tratamento
médicos, e os potenciais danos físicos e psicológicos);
— normas, tradições, cultura e valores (incluindo desinformação que leve a preconceitos ou danos
aos indivíduos ou grupos de indivíduos, ou ambos, e às sociedades).
O desenvolvimento e o uso de sistemas de IA podem ser computacionalmente intensos, com impactos

relacionados à sustentabilidade ambiental (por exemplo, emissões de gases de efeito estufa devido
ao aumento do uso de energia, impactos na água, terra, flora e fauna). Da mesma forma, os sistemas
de IA podem ser usados para melhorar a sustentabilidade ambiental de outros sistemas (por exemplo,
reduzir as emissões de gases de efeito estufa relacionadas a edifícios e transportes). Convém que
a organização considere os impactos de seus sistemas de IA no contexto de suas metas e estratégias
gerais de sustentabilidade ambiental.
Convém que a organização considere como os seus sistemas de IA podem ser usados indevidamente
para criar danos sociais e como eles podem ser usados para lidar com danos históricos. Por exemplo,
os sistemas de IA podem impedir o acesso a serviços financeiros, como empréstimos, concessões,
seguros e investimentos e, da mesma forma, os sistemas de IA podem melhorar o acesso
a esses instrumentos?s
Os sistemas de IA têm sido usados para influenciar os resultados das eleições e para criar
desinformação (por exemplo, deepfakes em mídia digital), podendo levar a distúrbios políticos
e sociais. O uso de sistemas de IA pelo governo para fins de justiça criminal expôs o risco de vieses
para sociedades, indivíduos ou grupos de indivíduos. Convém que a organização considere como
os maus atores podem usar indevidamente os sistemas de IA e se os sistemas de IA reforçam vieses
sociais históricos indesejados.
Os sistemas de IA podem ser usados para diagnosticar e tratar doenças, e para determinar
qualificações para benefícios à saúde. Os sistemas de IA também são implantados em cenários onde

ABNT/CB-021
MAR 2024
o mau funcionamento pode resultar em morte ou ferimentos em humanos (por exemplo, automóveis
autônomos, equipes homem-máquina). Convém que a organização considere os resultados positivos
e negativos ao usar sistemas de IA em cenários relacionados à saúde e segurança física.
NOTA O ISO/IEC TR 24368 fornece uma visão geral de alto nível das preocupações éticas e sociais
relativas a sistemas e aplicações de IA.
B.6 Ciclo de vida do sistema de IA
B.6.1 Orientações da direção para o desenvolvimento de sistemas de IA
B.6.1.1 Objetivo
Assegurar que a organização identifique e documente os objetivos e implemente os processos para

o projeto e desenvolvimento responsáveis de sistemas de IA.
B.6.1.2 Objetivos para o desenvolvimento responsável de sistemas de IA
Controle
Convém que a organização identifique e documente os objetivos para orientar o desenvolvimento

responsável de sistemas de IA, e considere esses objetivos e integre medidas para alcançá-los
no ciclo de vida de desenvolvimento.
Convém que a organização identifique objetivos (ver 6.2) que afetem os processos de projeto
e desenvolvimento do sistema de IA. Convém que estes objetivos sejam considerados nos processos
de projeto e desenvolvimento. Por exemplo, se uma organização determinar “justiça” como
um objetivo, convém que isso seja considerado durante a especificação de requisitos, aquisição
de dados, condicionamento de dados, treinamento de modelos, verificação e validação etc. Convém
que a organização forneça requisitos e diretrizes conforme necessário para assegurar que as medidas
sejam integradas nas várias etapas (por exemplo, a exigência de usar uma ferramenta ou método
de teste específico para lidar com injustiça ou viés indesejado) para atingir tais objetivos.
Técnicas de IA estão sendo usadas para aumentar as medidas de segurança, como previsão
de ameaças, detecção e prevenção de ataques de segurança. Esta é uma aplicação de técnicas
de IA que podem ser usadas para reforçar medidas de segurança para proteger sistemas de IA
e sistemas de software convencionais não baseados em IA. O Anexo C fornece exemplos de objetivos
organizacionais para a gestão de riscos, que podem ser úteis na determinação dos objetivos para
o desenvolvimento de sistemas de IA.
B.6.1.3 Processos para projeto e desenvolvimento responsáveis de sistemas de IA
Controle
Convém que a organização defina e documente os processos específicos para o projeto e desenvolvimento
responsáveis do sistema de IA.

ABNT/CB-021
MAR 2024
Convém que o processo de desenvolvimento responsável de sistemas de IA considere, sem limitação,

o seguinte:
— estágios do ciclo de vida (um modelo genérico de ciclo de vida do sistema de IA é fornecido pela
ABNT NBR ISO/IEC 22989, mas a organização pode especificar seus próprios estágios de ciclo
de vida);
— requisitos de testes e meios previstos para os testes;
— requisitos de supervisão humana, incluindo processos e ferramentas, especialmente quando

o sistema de IA pode afetar pessoas naturais;
— em que fases convém que sejam realizadas avaliações de impacto do sistema de IA;
— expectativas e regras sobre dados de treinamento (por exemplo, que dados podem ser usados,
fornecedores de dados aprovados e rotulagem);
— expertise (domínio do assunto ou outro) necessária ou formação para desenvolvedores

de sistemas de IA, ou ambos;
— critérios de liberação;
— aprovações e assinaturas necessárias em várias fases;
— controle das alterações;
— usabilidade e controlabilidade;
— envolvimento das partes interessadas.
Os processos específicos de projeto e desenvolvimento dependem da funcionalidade e das tecnologias

de IA que se destinam a serem usadas para o sistema de IA.
B.6.2 Ciclo de vida do sistema de IA

B.6.2.1 Objetivo
Definir os critérios e requisitos para cada estágio do ciclo de vida do sistema de IA.
B.6.2.2 Requisitos e especificações do sistema de IA
Controle
Convém que a organização especifique e documente os requisitos para novos sistemas de IA

ou aprimoramentos materiais para sistemas existentes.
Convém que a organização documente a justificativa para o desenvolvimento de um sistema

de IA e seus objetivos. Alguns dos fatores que convém que sejam considerados, documentados
e compreendidos podem incluir:
a) por que o sistema de IA deve ser desenvolvido, por exemplo, se é impulsionado por um caso
de negócios, por solicitação do cliente ou por política governamental;

ABNT/CB-021
MAR 2024
b) como o modelo pode ser treinado e como os requisitos de dados podem ser atingidos.
Convém que os requisitos do sistema de IA sejam especificados e abranjam todo o ciclo de vida
do sistema de IA. Convém que tais requisitos sejam revisitados nos casos em que o sistema de IA
desenvolvido não puder funcionar como pretendido ou se surgirem novas informações que possam
ser usadas para alterar e melhorar os requisitos. Por exemplo, desenvolver o sistema de IA pode
tornar-se inviável do ponto de vista financeiro.
Os processos para descrever o ciclo de vida do sistema de IA são fornecidos na ISO/IEC 5338.
Para obter mais informações sobre o projeto centrado no ser humano para sistemas interativos,
ver ISO 9241-210.
B.6.2.3 Documentação de projeto e desenvolvimento de sistemas de IA
Controle
Convém que a organização documente o projeto e o desenvolvimento do sistema de IA com base

em objetivos organizacionais, requisitos documentados e critérios de especificação.
Existem muitas opções de projeto necessárias para um sistema de IA, incluindo, mas não limitado a:
— abordagem de aprendizado de máquina (por exemplo, supervisionada versus não supervisionada);
— algoritmo de aprendizado e tipo de modelo de aprendizado de máquina utilizado;
— forma como o modelo se destina a ser treinado e qualidade dos dados (ver B.7);
— avaliação e aperfeiçoamento dos modelos;
— componentes de hardware e software;
— ameaças à segurança consideradas durante o ciclo de vida do sistema de IA; ameaças de segurança
específicas de sistemas de IA incluem envenenamento de dados, roubo de modelos ou ataques
de inversão de modelos;
— interface e apresentação das saídas;
— como os seres humanos podem interagir com o sistema;
— considerações de interoperabilidade e portabilidade.
Pode haver várias iterações entre o projeto e o desenvolvimento, mas convém que a documentação
no estágio seja mantida e que uma documentação final da arquitetura do sistema esteja disponível.
Para mais informações sobre o projeto centrado no ser humano para sistemas interativos,
ver ISO 9241-210.

ABNT/CB-021
MAR 2024
B.6.2.4 Verificação e validação do sistema de IA
Controle
Convém que a organização defina e documente medidas de verificação e validação para o sistema
de IA e especifique critérios para o seu uso.
As medidas de verificação e validação podem incluir, mas não estão limitadas a:
— metodologias e ferramentas de teste;
— seleção dos dados de teste e a sua representatividade em relação ao domínio de uso pretendido;
— requisitos para critério de liberação.
Convém que a organização defina e documente critérios de avaliação, como, mas não se limite a:
— um plano para avaliar os componentes do sistema de IA e de todo o sistema de IA para riscos

relacionados com impactos nos indivíduos ou grupos de indivíduos, ou ambos, e nas sociedades;
— o plano de avaliação pode se basear, por exemplo em:
— requisitos de confiabilidade e segurança do sistema de IA, incluindo taxas de erro aceitáveis

para o desempenho do sistema de IA;
— desenvolvimento responsável e objetivos de uso de sistemas de IA, como os referidos

em B.6.1.2 e B.9.3;
— fatores operacionais, como qualidade dos dados e uso pretendido, incluindo intervalos
aceitáveis de cada fator operacional;
— quaisquer usos pretendidos que possam exigir fatores operacionais mais rigorosos a serem
definidos, incluindo diferentes intervalos aceitáveis para fatores operacionais ou taxas
de erro mais baixas;
— métodos, orientações ou métricas usados para avaliar se as partes interessadas relevantes

que tomam decisões ou estão sujeitas às decisões baseadas nos resultados do sistema de IA
podem, de forma adequada, interpretar as saídas do sistema de IA. Convém que a frequência
da avaliação seja determinada e possa basear-se nos resultados de uma avaliação de impacto
do sistema de IA;
— quaisquer fatores aceitáveis que possam explicar a incapacidade de atingir um nível mínimo
de desempenho-alvo, especialmente quando o sistema de IA é avaliado quanto aos impactos nos
indivíduos ou grupos de indivíduos, ou ambos, e nas sociedades (por exemplo, baixa resolução
de imagem para sistemas de visão computacional ou ruído de fundo que afeta sistemas
de reconhecimento de fala). Convém documentar também os mecanismos que lidam com o baixo
desempenho do sistema de IA como resultado desses fatores.
Convém que o sistema de IA seja avaliado em relação aos critérios documentados para avaliação.
Se o sistema de IA não puder atender aos critérios documentados de avaliação, especialmente

em relação aos objetivos de desenvolvimento e uso responsáveis do sistema de IA (ver B.6.1.2

ABNT/CB-021
MAR 2024
e B.9.3), convém que a organização reconsidere ou gerencie as deficiências do uso pretendido

do sistema de IA, seus requisitos de desempenho e como a organização pode efetivamente abordar
os impactos para indivíduos ou grupos de indivíduos, ou ambos, e para as sociedades.
NOTA Mais informações sobre como lidar com a robustez de redes neurais podem ser encontradas
no ISO/IEC TR 24029-1.
B.6.2.5 Implantação do sistema de IA
Controle
Convém que a organização documente um plano de implantação e assegure que os requisitos

apropriados sejam atendidos antes da implantação.
Os sistemas de IA podem ser desenvolvidos em vários ambientes e implantados em outros (como

os desenvolvidos no local e implantados usando cloud computing) e convém que a organização
considere essas diferenças para o plano de implantação. Convém que a organização também
considere se os componentes são implantados separadamente (por exemplo, o software e o modelo
podem ser implantados de forma independente). Além disso, convém que a organização tenha
um conjunto de requisitos a serem atendidos antes da liberação e implantação (às vezes chamados
de «critérios de liberação»). Isso pode incluir medidas de verificação e validação a serem aprovadas,
métricas de desempenho a serem atendidas, testes de usuários a serem concluídos, bem como
aprovações gerenciais e aceites a serem obtidos. Convém que o plano de implantação considere
as perspectivas e os impactos para as partes interessadas relevantes.
B.6.2.6 Operação e monitoramento do sistema de IA
Controle
Convém que a organização defina e documente os elementos necessários para a operação contínua
do sistema de IA. No mínimo, convém que isso inclua o monitoramento do sistema e do desempenho,
reparos, atualizações e suporte.
Cada atividade mínima para operação e monitoramento pode considerar vários aspectos. Por exemplo:
— O monitoramento do sistema e do desempenho pode incluir o monitoramento de erros e falhas

gerais, bem como se o sistema está funcionando conforme o esperado com os dados de produção.
Os critérios de desempenho técnico podem incluir taxas de sucesso na resolução de problemas
ou na realização de tarefas, ou taxas de confiança. Outros critérios podem estar relacionados
a atingir o compromisso, ou expectativa, e as necessidades das partes interessadas, incluindo,
por exemplo, monitoramento contínuo para assegurar o cumprimento dos requisitos do cliente
ou dos requisitos legais aplicáveis;
— Alguns sistemas de IA implantados evoluem seu desempenho como resultado do ML, onde os dados
de produção e os dados de saída são usados para treinar ainda mais o modelo de ML. Nos casos
em que o aprendizado continuado é utilizado, convém que a organização monitore o desempenho
do sistema de IA para assegurar que ele continue a atender seus objetivos de projeto e opere nos
dados de produção como pretendido;
— O desempenho de alguns sistemas de IA pode mudar mesmo que esses sistemas não usem
aprendizado continuado, geralmente por desvios de conceito ou dados de produção. Nesses

ABNT/CB-021
MAR 2024
casos, o monitoramento pode identificar a necessidade de retreinamento para assegurar que

o sistema de IA continue cumprindo seus objetivos de projeto e operando com dados de produção
como pretendido. Mais informações podem ser encontradas na ISO/IEC 23053.
— Os reparos podem incluir respostas a erros e falhas no sistema. Convém que a organização
tenha processos para a resposta e reparo desses problemas. Além disso, as atualizações
podem ser necessárias à medida que o sistema evolui ou à medida que problemas críticos
são identificados, ou como resultado de problemas identificados externamente (por exemplo,
não conformidade com as expectativas do cliente ou requisito legal). Convém haver processos
em vigor para atualizar o sistema, incluindo componentes afetados, cronograma de atualização
e informações aos usuários sobre o que está incluído na atualização;
— As atualizações do sistema também podem incluir alterações nas operações do sistema, usos
pretendidos novos ou modificados ou outras alterações na funcionalidade do sistema. Convém
que a organização tenha procedimentos para lidar com mudanças operacionais, incluindo
a comunicação aos usuários;
— O suporte ao sistema pode ser interno, externo ou ambos, dependendo das necessidades
da organização e de como o sistema foi adquirido. Convém que os processos de suporte
considerem como os usuários podem entrar em contato com a ajuda apropriada, como
os problemas e incidentes são relatados, além de também levar em conta contratos e métricas
de nível de serviço de suporte;
— Sempre que os sistemas de IA forem utilizados para finalidades diferentes daquelas para
as quais foram concebidos ou de formas não previstas, convém considerar a adequação dessas
utilizações;
— Convém que as ameaças à segurança da informação específicas de IA, relacionadas aos

sistemas de IA aplicados e aos desenvolvidos pela organização, sejam identificadas. As ameaças
à segurança da informação específicas de IA incluem, mas não são limitadas a, envenenamento
de dados, roubo de modelos e ataques de inversão de modelos.
Convém que a organização considere o desempenho operacional que pode afetar as partes
interessadas e considere isso ao projetar e determinar os critérios de desempenho.
Convém que os critérios de desempenho para os sistemas de IA em operação sejam determinados

pela tarefa em questão, como classificação, regressão, ranqueamento, agrupamento ou redução
de dimensionalidade.
Os critérios de desempenho podem incluir aspectos estatísticos, como taxas de erro e duração
do processamento. Para cada critério, convém que a organização identifique todas as métricas
relevantes, bem como as interdependências entre elas. Para cada métrica, convém que a organização
considere valores aceitáveis com base, por exemplo, nas recomendações de especialistas do domínio
e na análise das expectativas das partes interessadas, relativas às práticas existentes que não sejam
de IA.
Por exemplo, uma organização pode determinar que obter a pontuação F1 é um valor apropriado
com base em sua avaliação do impacto de falsos positivos e falsos negativos, conforme descrito
na ISO/IEC TS 4213. A organização pode então estabelecer um valor F1 que se espera que o sistema
de IA atenda. Convém que seja avaliado se estas questões podem ser tratadas pelas medidas
existentes. Se não for esse o caso, convém que sejam consideradas alterações às medidas existentes
ou que sejam determinadas medidas adicionais para detectar e tratar estas questões.

ABNT/CB-021
MAR 2024
Convém que a organização considere o desempenho de sistemas ou de processos em operação

que não sejam de IA e o utilize como contexto potencialmente relevante ao estabelecer critérios
de desempenho.
Convém que a organização também assegure que os meios e processos utilizados para avaliar
o sistema de IA, incluindo, quando aplicável, a seleção e gestão dos dados de avaliação, melhore
a completude e a confiabilidade na avaliação do seu desempenho em relação aos critérios definidos.
O desenvolvimento de metodologias de avaliação de desempenho pode ser baseado em critérios,

métricas e valores. Convém que estes critérios, métricas e valores informem a quantidade de dados
e os tipos de processos utilizados na avaliação, bem como os papéis e a expertise do pessoal
encarregado de efetuar a avaliação.
Convém que as metodologias de avaliação de desempenho reflitam os atributos e as características

de uso e operação o mais próximo possível para assegurar que os resultados da avaliação sejam úteis
e relevantes. Alguns aspectos da avaliação de desempenho podem exigir a introdução controlada
de dados ou processos errôneos ou espúrios para avaliar o impacto no desempenho.
O modelo de qualidade na ISO/IEC 25059 pode ser usado para definir critérios de desempenho.
B.6.2.7 Documentação técnica do sistema de IA
Controle
Convém que a organização determine qual documentação técnica do sistema de IA é necessária

para cada categoria relevante de partes interessadas, como usuários, parceiros e autoridades
de supervisão, e forneça a documentação técnica a elas de forma apropriada.
A documentação técnica do sistema de IA pode incluir, mas não está limitada a, os seguintes elementos:
— uma descrição geral do sistema de IA, incluindo o seu propósito pretendido;
— instruções de uso;
— pressupostos técnicos sobre a sua implantação e funcionamento (ambiente de execução,

capacidades de software e hardware relacionadas, pressupostos sobre dados etc.);
— limitações técnicas (por exemplo, taxas de erro aceitáveis, exatidão, confiabilidade, robustez);
— capacidades e funções de monitoramento que permitam que os usuários ou operadores

influenciem o funcionamento do sistema.
Os elementos de documentação relacionados a todos os estágios do ciclo de vida do sistema de IA

(conforme definido na ABNT NBR ISO/IEC 22989) podem incluir, mas não estão limitados a:
— projeto e especificação da arquitetura do sistema;
— escolhas de projeto efetuadas e medidas de qualidade tomadas durante o processo

de desenvolvimento do sistema;
— informações sobre os dados utilizados durante o desenvolvimento do sistema;
— pressupostos assumidos e medidas de qualidade tomadas em matéria de qualidade dos dados

(por exemplo, distribuições estatísticas assumidas);

ABNT/CB-021
MAR 2024
— atividades de gestão (por exemplo, gestão de riscos) realizadas durante o desenvolvimento

ou funcionamento do sistema de IA;
— registros de verificação e validação;
— alterações feitas no sistema de IA quando este estiver em operação;

— documentação relativa à avaliação de impacto, como descrito em B.5.
Convém que a organização documente informações técnicas relacionadas à operação responsável

do sistema de IA. Isso pode incluir, mas não está limitado a:
— documentar um plano para gerenciar falhas. Isso pode incluir, por exemplo, a necessidade
de descrever um plano de reversão para o sistema de IA, desativar recursos do sistema de IA,
um processo de atualização ou um plano para notificar clientes, usuários etc. sobre mudanças
no sistema de IA, informações atualizadas sobre falhas no sistema e como elas podem
ser mitigadas;
— documentar processos para monitorar a saúde do sistema de IA (isto é, o sistema de IA funciona

como pretendido e dentro das suas margens normais de funcionamento, também designado
por observabilidade) e processos para lidar com falhas no sistema de IA;
— documentar procedimentos operacionais padrão para o sistema de IA, incluindo quais eventos
convém que sejam monitorados e como os logs de eventos são priorizados e analisados
criticamente. Também pode ser incluído como investigar falhas e a prevenção de falhas;
— documentar os papéis do pessoal responsável pela operação do sistema de IA, bem como
os responsáveis pela responsabilização do uso do sistema, especialmente em relação
ao tratamento dos efeitos de falhas do sistema de IA ou gerenciamento de atualizações
no sistema de IA;
— documentar as atualizações do sistema também como alterações nas operações do sistema,

usos pretendidos novos ou modificados, ou outras alterações na funcionalidade do sistema.
Convém que a organização tenha procedimentos estabelecidos para lidar com mudanças operacionais,
incluindo comunicação com usuários e avaliações internas sobre o tipo de mudança.
Convém que a documentação esteja atualizada e precisa. Convém que a documentação seja aprovada
pela direção pertinente dentro da organização.
Quando fornecidos como parte da documentação do usuário, convém que os controles indicados
na Tabela A.1 sejam considerados.
B.6.2.8 Registo de logs de eventos do sistema de IA
Controle
Convém que a organização determine em quais fases do ciclo de vida do sistema de IA a manutenção
de logs de eventos seja habilitada, mas no mínimo quando o sistema de IA estiver em uso.

ABNT/CB-021
MAR 2024
Convém que a organização assegure o registro em log dos sistemas de IA implantados para coletar
e registrar automaticamente logs de eventos relacionados a determinados eventos que ocorrem
durante a operação. Esse registro pode incluir, mas não está limitado a:
— rastreabilidade da funcionalidade do sistema de IA para assegurar que o sistema de IA esteja

operando como pretendido;
— detecção, por meio do monitoramento da operação do sistema de IA, do desempenho do sistema

de IA fora das condições operacionais pretendidas, o que pode resultar em desempenho
indesejável nos dados de produção ou em impactos para as partes interessadas relevantes.
Os logs de eventos do sistema de IA podem incluir informações, como a hora e a data de cada vez
que o sistema de IA é usado, dados de produção nos quais o sistema de IA opera, saídas que resultem
da faixa de operação pretendida do sistema de IA etc.
Convém que os logs de eventos sejam mantidos pelo tempo necessário para o uso pretendido
do sistema de IA e dentro das políticas de retenção de dados da organização. Requisitos regulatórios
relacionados à retenção de dados podem ser aplicáveis.
Alguns sistemas de IA, como sistemas de identificação biométrica, podem ter requisitos de registro
adicionais, dependendo da jurisdição. Convém que as organizações estejam cientes desses requisitos.
B.7 Dados para sistemas de IA
B.7.1 Objetivo
Assegurar que a organização compreenda o papel e os impactos dos dados em sistemas de IA
na aplicação e desenvolvimento, provisionamento ou uso de sistemas de IA ao longo de seus ciclos
de vida.
B.7.2 Dados para desenvolvimento e aprimoramento do sistema de IA

Controle
Convém que a organização defina, documente e implemente processos de gestão de dados

relacionados ao desenvolvimento de sistemas de IA.
A gestão de dados pode incluir vários tópicos como, mas não limitados a, os seguintes:
— implicações de privacidade e segurança devido à utilização de dados, podendo alguns dos quais
ser de natureza sensível;
— ameaças à segurança e à segurança física que podem surgir no desenvolvimento de sistemas

de IA dependentes de dados;
— aspetos de transparência e explicabilidade, incluindo a proveniência dos dados e a capacidade

de fornecer uma explicação de como os dados são utilizados para determinar as saídas de um
sistema de IA, se o sistema exigir transparência e explicabilidade;

ABNT/CB-021
MAR 2024
— representatividade dos dados de treinamento em comparação com o domínio operacional de uso;
— exatidão e integridade dos dados.
NOTA Informações detalhadas do ciclo de vida do sistema de IA e conceitos de gestão de dados são
fornecidas na ABNT NBR ISO/IEC 22989.
B.7.3 Aquisição de dados

Controle
Convém que a organização determine e documente detalhes sobre a aquisição e seleção dos dados
usados em sistemas de IA.
A organização pode precisar de diferentes categorias de dados de diferentes fontes, dependendo

do escopo e do uso de seus sistemas de IA. Os detalhes para aquisição de dados podem incluir:
— categorias de dados necessários para o sistema de IA;
— quantidade de dados necessários;
— fontes de dados (por exemplo, internos, comprados, partilhados, dados abertos, sintéticos);
— características da fonte de dados (por exemplo, estática, transmitida, coletada, gerada por
máquina);
— dados demográficos e características dos sujeitos de dados (por exemplo, vieses potenciais
ou conhecidos ou outros erros sistemáticos);
— tratamento prévio dos dados (por exemplo, usos anteriores, conformidade com requisitos
de privacidade e segurança);
— direitos dos dados (por exemplo, DP, copyright);
— metadados associados (por exemplo, detalhes de rotulagem e aprimoramento de dados);
— proveniência dos dados.
As categorias de dados e uma estrutura para o uso de dados da ISO/IEC 19944-1 podem ser usadas
para documentar detalhes sobre a aquisição e o uso de dados.
B.7.4 Qualidade dos dados para sistemas de IA

Controle
Convém que a organização defina e documente requisitos de qualidade dos dados e assegure que
os dados usados para desenvolver e operar o sistema de IA atendam a esses requisitos.
A qualidade dos dados usados para desenvolver e operar sistemas de IA potencialmente tem impactos
significativos na validade dos resultados do sistema. A ISO/IEC 25024 define qualidade de dados

ABNT/CB-021
MAR 2024
como o grau em que as características dos dados satisfazem as necessidades declaradas e implícitas,
quando usados sob condições especificadas. Para sistemas de IA que usam aprendizado de máquina
supervisionado ou semissupervisionado, é importante que a qualidade dos dados de treinamento,
validação, teste e produção seja definida, medida e melhorada na medida do possível, e convém
que a organização assegure que os dados sejam adequados ao propósito pretendido. Convém que
a organização considere o impacto do viés no desempenho do sistema e na justiça do sistema, e que
faça os ajustes necessários no modelo e nos dados usados para melhorar o desempenho e a justiça
para níveis aceitáveis para o caso de uso.
Informações adicionais sobre a qualidade dos dados estão disponíveis na série ISO/IEC 52592
sobre qualidade de dados para análise e ML. Informações adicionais sobre diferentes formas de viés
em dados usados em sistemas de IA estão disponíveis no ABNT ISO/IEC TR 24027.
B.7.5 Proveniência dos dados
Controle
Convém que a organização defina e documente um processo para verificar e registrar a proveniência
dos dados usados em seus sistemas de IA ao longo dos ciclos de vida dos dados e do sistema de IA.
De acordo com a ISO 8000-2, um registro de proveniência dos dados pode incluir informações sobre
a criação, atualização, transcrição, abstração, validação e transferência de controle dos dados. Além
disso, o compartilhamento de dados (sem transferência de controle) e as transformações de dados
podem ser considerados sob a proveniência dos dados. Dependendo de fatores como a fonte dos
dados, o seu conteúdo e o contexto da sua utilização, convém que as organizações considerem
se são necessárias medidas para verificar a proveniência dos dados.
B.7.6 Preparação dos dados
Controle
A organização deve definir e documentar seus critérios para selecionar a preparação dos dados
e os métodos de preparação dos dados a serem usados.
Os dados usados em um sistema de IA normalmente precisam de preparação para torná-los utilizáveis

para uma determinada tarefa de IA. Por exemplo, algoritmos de aprendizado de máquina às vezes
são intolerantes a entradas ausentes ou incorretas, distribuição não normal e escalas muito variadas.
Métodos de preparação e transformações podem ser usados para aumentar a qualidade dos dados.
A falha em preparar adequadamente os dados pode, potencialmente, levar a erros do sistema de IA.
Métodos comuns de preparação e transformações para dados usados em sistemas de IA incluem:
— exploração estatística dos dados (por exemplo, distribuição, média, mediana, desvio-padrão,
intervalo, estratificação, amostragem) e metadados estatísticos (por exemplo, especificação
da iniciativa de documentação de dados (DDI) [28]);
— limpeza (isto é, correção de entradas, lidando com entradas faltantes);
— imputação (isto é, métodos de preenchimento de entradas faltantes);

ABNT/CB-021
MAR 2024
— normalização;
— dimensionamento;
— rotulagem das variáveis-alvo;
— codificação (por exemplo, conversão de variáveis categóricas em números).

Para uma determinada tarefa de IA, convém que a organização documente seus critérios para
selecionar métodos e transformações específicos de preparação de dados, bem como métodos
e transformações específicos usados na tarefa de IA.
NOTA Para obter informações adicionais sobre a preparação de dados específicos para aprendizado
de máquina, ver a série ISO/IEC 52592 e ISO/IEC 23053.
B.8 Informação para as partes interessadas
B.8.1 Objetivo
Assegurar que as partes interessadas relevantes disponham das informações necessárias para
compreender e avaliar os riscos e os seus impactos (positivos e negativos).
B.8.2 Documentação do sistema e informações para usuários
Controle
Convém que a organização determine e forneça as informações necessárias aos usuários do sistema.
As informações sobre o sistema de IA podem incluir detalhes técnicos e instruções, bem como
notificações aos usuários sobre eles estarem interagindo com um sistema de IA, dependendo
do contexto. Isso pode também incluir o próprio sistema, bem como saídas potenciais do sistema
(por exemplo, notificar os usuários sobre uma imagem que foi criada por IA).
Embora os sistemas de IA possam ser complexos, é fundamental que os usuários sejam capazes
de entender, quando eles estiverem interagindo com um sistema de IA, como o sistema funciona.
Os usuários também precisam entender seu propósito e usos pretendidos, seu potencial de causar
danos ou beneficiar o usuário. Algumas documentações do sistema podem ser necessariamente
direcionadas para usos mais técnicos (por exemplo, administradores de sistema), e convém
que a organização compreenda as necessidades das diferentes partes interessadas e o que
a compreensibilidade pode significar para elas. Também convém que as informações sejam acessíveis,
tanto em termos de facilidade de uso para encontrá-las, quanto para os usuários que podem precisar
de recursos de acessibilidade adicionais.
As informações que podem ser fornecidas aos usuários incluem, mas não estão limitadas a:
— propósito do sistema;
— que o usuário está interagindo com um sistema de IA;
— como interagir com o sistema;

ABNT/CB-021
MAR 2024
— como e quando se sobrepor ao sistema;
— requisitos técnicos para o funcionamento do sistema, incluindo os recursos computacionais

necessários e as limitações do sistema, bem como a sua vida útil prevista;
— necessidade de supervisão humana;

— informações sobre a exatidão e o desempenho;
— informações relevantes sobre a avaliação de impacto, incluindo potenciais benefícios e danos,

em especial se forem aplicáveis em contextos específicos ou em determinados grupos
demográficos (ver B.5.2 e B.5.4);
— revisões dos pedidos sobre os benefícios do sistema;
— atualizações e mudanças no funcionamento do sistema, bem como quaisquer medidas

de manutenção necessárias, incluindo a sua frequência;
— informações de contato;
— materiais educativos para utilização do sistema.
Convém que os critérios utilizados pela organização para determinar se e quais informações devem
ser fornecidas sejam documentados. Os critérios relevantes incluem, mas não estão limitados ao uso
pretendido e utilização indevida razoavelmente previsível do sistema de IA, à expertise do usuário
e ao impacto específico do sistema de IA.
As informações podem ser fornecidas aos usuários de várias maneiras, incluindo instruções
documentadas de uso, alertas e outras notificações incorporadas no próprio sistema, informações
em uma página da web etc. Dependendo de quais métodos a organização usa para fornecer
informações, convém que ela valide que os usuários têm acesso a essas informações, e que
as informações fornecidas são completas, atualizadas e precisas.
B.8.3 Relatórios externos
Controle
Convém que a organização forneça recursos às partes interessadas para relatar os impactos adversos
do sistema.
Enquanto convém que a operação do sistema seja monitorada para problemas e falhas relatados,
também convém que a organização forneça recursos para usuários ou outras partes externas relatarem
impactos adversos (por exemplo, injustiça).
B.8.4 Comunicação de incidentes
Controle
Convém que a organização determine e documente um plano para comunicar incidentes aos usuários
do sistema.

ABNT/CB-021
MAR 2024
Os incidentes relacionados ao sistema de IA podem ser específicos do próprio sistema de IA

ou relacionados à segurança da informação ou privacidade (por exemplo, uma violação de dados).
Convém que a organização entenda suas obrigações de notificar usuários e outras partes interessadas
sobre incidentes, dependendo do contexto em que o opera. Por exemplo, um incidente com
um componente de IA que faz parte de um produto que afeta a segurança física pode ter requisitos
de notificação diferentes de outros tipos de sistemas. Requisitos legais (como os contratos)
e a atividade regulatória podem ser aplicáveis, e podem especificar requisitos para:
— tipos de incidentes que devem ser comunicados;
— prazo para notificação;
— se e quais autoridades devem ser notificadas;
— detalhes necessários a serem comunicados.
A organização pode integrar atividades de resposta a incidentes e relatórios de IA em seu escopo

mais amplo nas atividades de gestão de incidentes organizacionais, mas convém que esteja ciente
dos requisitos únicos relacionados aos sistemas de IA ou aos componentes individuais dos sistemas
de IA (por exemplo, uma violação de dados pessoais em dados de treinamento, para o sistema,
pode ter exigências de comunicação diferentes, relativas à privacidade).
As ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27701 fornecem detalhes adicionais sobre gestão
de incidentes para segurança e privacidade, respectivamente.
B.8.5 Informação às partes interessadas

Controle
Convém a organização determine e documente suas obrigações de relatar os incidentes sobre

o sistema IA para as partes interessadas.
Em alguns casos, uma jurisdição pode exigir que informações sobre o sistema sejam compartilhadas
com as autoridades, como reguladores. Informações podem ser relatadas a partes interessadas,
como clientes ou reguladores, dentro do prazo adequado. As informações compartilhadas podem
incluir, por exemplo:
— documentação técnica do sistema, incluindo, mas não limitado a, conjuntos de dados para
treinamento, validação e testes, bem como justificativas de escolhas algorítmicas e registros
de verificação e validação;
— riscos relacionados ao sistema;
— resultados das avaliações de impacto;
— logs e outros registros do sistema.
Convém que a organização compreenda as suas obrigações em relação a esta questão e assegure
que as informações apropriadas sejam compartilhadas com as autoridades corretas. Adicionalmente,

ABNT/CB-021
MAR 2024
pressupõe-se que a organização esteja ciente dos requisitos jurisdicionais relacionados a informações
compartilhadas com a autoridade de aplicação da lei.
B.9 Uso de sistemas de IA

B.9.1 Objetivo
Assegurar que a organização use sistemas de IA de forma responsável e de acordo com as políticas
organizacionais.
B.9.2 Processos para o uso responsável de sistemas de IA

Controle
Convém que a organização defina e documente os processos para o uso responsável de sistemas
de IA.
Dependendo do seu contexto, a organização pode ter muitas considerações para determinar se deve
usar um determinado sistema de IA. Se o sistema de IA for desenvolvido pela própria organização
ou adquirido de terceiros, convém que a organização seja clara sobre quais são essas considerações
e desenvolva políticas para abordá-las. Alguns exemplos são:
— aprovações necessárias;
— custos (incluindo o acompanhamento e a manutenção contínuos);
— requisitos de aquisição aprovados;
— requisitos legais aplicáveis à organização.
Caso a organização tenha aceitado políticas para o uso de outros sistemas, ativos etc., essas políticas
podem ser incorporadas, se desejado.
B.9.3 Objetivos para o uso responsável de sistemas de IA

Controle
Convém que a organização identifique e documente objetivos para orientar o uso responsável
de sistemas de IA.
A organização que opera em diferentes contextos pode ter diferentes expectativas e objetivos sobre
o que constitui o desenvolvimento responsável de sistemas de IA. Dependendo de seu contexto,
convém que a organização identifique seus objetivos relacionados ao uso responsável. Alguns
objetivos incluem:
— justiça;
— responsabilização;
— transparência;

ABNT/CB-021
MAR 2024
— explicabilidade;
— confiabilidade;
— segurança física;
— robustez e redundância;
— privacidade e segurança;
— acessibilidade.
Uma vez definidos, convém que a organização implemente mecanismos para atingir seus objetivos
dentro da organização. Isso pode incluir determinar se uma solução de terceiros atende aos objetivos
da organização ou se uma solução desenvolvida internamente é aplicável para o uso pretendido.
Convém que a organização determine em quais estágios do ciclo de vida do sistema de I.A. incorporar
objetivos de supervisão humana. Isso pode incluir:
— envolver revisores humanos para verificar os resultados do sistema de IA, incluindo ter autoridade
para sobrepor decisões tomadas por sistemas de IA;
— assegurar que a supervisão humana seja incluída, se necessário, para a utilização aceitável
do sistema de IA de acordo com as instruções ou outra documentação associada à implantação
pretendida do sistema de IA;
— monitorar o desempenho do sistema de IA, incluindo a exatidão das saídas do sistema de IA;
— comunicar às partes interessadas relevantes as preocupações relacionadas com as saídas

do sistema de IA e o seu impacto;
— relatar preocupações com mudanças no desempenho ou na capacidade do sistema de IA

de produzir saídas corretas sobre os dados de produção;
— considerar se a tomada de decisão automatizada é apropriada para uma abordagem responsável

ao uso de um sistema de IA e ao uso pretendido do sistema de IA.
A necessidade de supervisão humana pode ser informada pelas avaliações de impacto dos sistemas
de IA (ver B.5). Convém que o pessoal envolvido em atividades de supervisão humana relacionadas
ao sistema de IA seja informado e treinado sobre o sistema de IA, bem como tenha compreensão
das instruções e outras documentações relacionadas ao sistema de IA, de modo que cumpram
efetivamente seus deveres para satisfazer os objetivos de supervisão humana. Ao relatar problemas
de desempenho, a supervisão humana pode aperfeiçoar os resultados do monitoramento automatizado.
O Anexo C fornece exemplos de objetivos organizacionais para a gestão de riscos, que podem ser
úteis para determinar os objetivos para o uso do sistema de IA.
B.9.4 Uso pretendido do sistema de IA
Controle
Convém que a organização assegure que o sistema de IA seja utilizado de acordo com seu uso
pretendido e sua documentação associada.

ABNT/CB-021
MAR 2024
Convém que o sistema de IA seja implantado de acordo com as instruções e demais documentações
associadas ao sistema de IA (ver B.8.2). A implantação pode requerer recursos específicos para
dar suporte à implantação, incluindo a necessidade de assegurar que a supervisão humana seja
aplicada conforme necessário (ver B.9.3). Pode ser necessário que, para o uso aceitável do sistema
de IA, os dados em que o sistema de IA é utilizado estejam alinhados com a documentação associada
ao sistema de IA para assegurar que o desempenho do sistema de IA seja exato.
Convém que o funcionamento do sistema de IA seja monitorado (ver B.6.2.6). Onde a implantação correta
do sistema de IA, de acordo com as suas instruções associadas, causar preocupações relacionadas
ao impacto para as partes interessadas relevantes ou aos requisitos legais da organização, convém
que a organização comunique suas preocupações ao pessoal pertinente dentro da organização,
bem como a quaisquer fornecedores terceirizados do sistema de IA.
Convém que a organização mantenha logs de eventos ou outras documentações relacionadas

à implantação e operação do sistema de IA, que possam ser usados para demonstrar que o sistema
de IA está sendo usado como pretendido ou para ajudar na comunicação de preocupações
relacionadas ao uso pretendido do sistema de IA. O período de tempo durante o qual logs de eventos
e outras documentações são mantidos depende do uso pretendido do sistema de IA, das políticas
da organização e das obrigações legais pertinentes para a retenção de dados.
B.10 Relacionamento com clientes e terceiros
B.10.1 Objetivo
Assegurar que a organização entenda suas responsabilidades e permaneça responsabilizada, e que

os riscos sejam adequadamente rateados quando terceiros estieverem envolvidos em qualquer fase
do ciclo de vida do sistema de IA.
B.10.2 Atribuição de responsabilidades
Controle
Convém que a organização assegure que as responsabilidades dentro de seu ciclo de vida do sistema
de IA sejam alocadas entre a organização, seus parceiros, fornecedores, clientes e terceiros.
Em um ciclo de vida de um sistema de IA, as responsabilidades podem ser divididas entre partes
que fornecem dados, partes que fornecem algoritmos e modelos, e partes que desenvolvem ou usam
o sistema de IA e são responsáveis em relação a algumas ou a todas as partes interessadas. Convém
que a organização documente todas as partes que intervêm no ciclo de vida do sistema de IA e seus
papéis, e determine suas responsabilidades.
Quando a organização fornece sistemas de IA a terceiros, convém que assegure que adota
uma abordagem responsável para desenvolver sistemas de IA. Ver os controles e orientações
na Seção B.6. Convém que a organização seja capaz de fornecer a documentação necessária
(ver B.6.2.7 e B.8.2) para o sistema de IA para as partes interessadas relevantes e para o terceiro
para o qual a organização está fornecendo o sistema de IA.

ABNT/CB-021
MAR 2024
Quando os dados tratados incluem DP, as responsabilidades geralmente são divididas entre
os operadores e os controladores de DP. A ABNT NBR ISO/IEC 29100 fornece mais informações
sobre controladores de DP e operadores de DP. Nos casos em que a privacidade dos DP deva ser
preservada, convém que sejam considerados controles como os descritos na ABNT NBR ISO/IEC 27701.
Com base nas atividades de tratamento de dados da organização e do sistema de IA em DP e no papel
da organização na aplicação e desenvolvimento de sistemas de IA ao longo de seu ciclo de vida,
a organização pode ter o papel de um controlador de DP (ou controlador conjunto de DP), operador
de DP ou ambos.
B.10.3 Fornecedores
Controle
Convém que a organização estabeleça um processo que assegure que o uso de serviços, produtos
ou materiais providos por fornecedores se alinhe com a abordagem da organização no desenvolvimento
e uso responsáveis de sistemas de IA.
As organizações que desenvolvem ou usam um sistema de IA podem utilizar os fornecedores

de várias formas, desde a aquisição de conjuntos de dados, algoritmos ou modelos de aprendizado
de máquina, ou outros componentes de um sistema, como bibliotecas de software, até um sistema
de IA completo para sua própria utilização ou como parte de outro produto (por exemplo, um veículo).
Convém que as organizações considerem os diferentes tipos de fornecedores, o que eles fornecem
e o nível variável de risco que isso pode representar para o sistema e para a organização como
um todo ao determinar a seleção de fornecedores, os requisitos estabelecidos para esses fornecedores
e os níveis de monitoramento e avaliação contínuos necessários para esses fornecedores.
Convém que as organizações documentem como o sistema de IA e os componentes do sistema de IA

são integrados nos sistemas de IA desenvolvidos ou utilizados pela organização.
Quando a organização considera que o sistema de IA ou os componentes do sistema de IA de um

fornecedor não têm o desempenho pretendido ou podem resultar em impactos para indivíduos
ou grupos de indivíduos, ou ambos, e sociedades, e que não estão alinhados com a abordagem
responsável dos sistemas de IA adotada pela organização, convém que a organização exija que
o fornecedor tome ações corretivas. A organização pode decidir trabalhar com o fornecedor para
atingir esse objetivo.
Convém que a organização assegure que o fornecedor de um sistema de IA forneça documentação

apropriada e adequada relacionada ao sistema de IA (ver B.6.2.7 e B.8.2).
B.10.4 Clientes
Controle
Convém que a organização assegure que sua abordagem responsável para o desenvolvimento e uso
de sistemas de IA considere as expectativas e necessidades dos clientes.
Convém que a organização compreenda as expectativas e necessidades dos clientes quando fornecer

ABNT/CB-021
MAR 2024
um produto ou serviço relacionado com um sistema de IA (isto é, quando ela própria for um fornecedor).
Estas expectativas podem surgir sob a forma de requisitos para o próprio produto ou serviço, durante
uma fase de projeto ou engenharia, ou sob a forma de requisitos contratuais ou acordos de utilização
geral. Uma organização pode ter muitos tipos diferentes de relações com os clientes, e todos eles
podem ter necessidades e expectativas diferentes.
Convém que a organização compreenda, em particular, a natureza complexa das relações entre
fornecedores e clientes e compreenda onde a responsabilidade recai sobre o fornecedor do sistema
de IA e onde recai sobre o cliente, sem deixar de satisfazer as necessidades e expectativas deste.
Por exemplo, a organização pode identificar riscos relacionados ao uso de seus produtos e serviços
de IA pelo cliente e pode decidir tratar os riscos identificados, fornecendo informações apropriadas
ao seu cliente, para que ele possa tratar os riscos correspondentes.
Como exemplo de informação apropriada, quando um sistema de IA é válido para um determinado

domínio de uso, convém que os limites do domínio sejam comunicados ao cliente. Ver B.6.2.7 e B.8.2.

ABNT/CB-021
MAR 2024
Anexo C
(informativo)
Objetivos organizacionais potenciais e fontes de risco relacionados à IA

C.1 Geral
Este Anexo descreve objetivos organizacionais potenciais, fontes de risco e descrições que podem
ser considerados pela organização ao gerenciar riscos. Este Anexo não pretende ser exaustivo nem
aplicável a todas as organizações. Convém que a organização determine os objetivos e as fontes
de risco considerados relevantes para ela. A ABNT NBR ISO/IEC 23894 fornece informações mais
detalhadas sobre esses objetivos e fontes de risco, e sua relação com a gestão de riscos. A avaliação
de sistemas de IA, inicialmente, regularmente e quando necessário, fornece evidências para avaliar
quando um sistema de IA está sendo utlizado contra os objetivos da organização.
C.2 Objetivos
C.2.1 Responsabilização
O uso de IA pode mudar as estruturas de responsabilização existentes. Onde, antes, as pessoas

seriam responsabilizadas por suas ações, suas ações agora podem ser apoiadas por ou baseadas
no uso de um sistema de IA.
C.2.2 Expertise em IA
É necessária a seleção de especialistas dedicados com conjuntos de habilidades interdisciplinares

e expertise na avaliação, desenvolvimento e implantação de sistemas de IA.
C.2.3 Disponibilidade e qualidade dos dados de treinamento e de teste
Os sistemas de IA baseados em ML precisam de dados de treinamento, validação e teste para treinar

e verificar os sistemas para o comportamento pretendido.
C.2.4 Impacto ambiental
O uso de IA pode ter impactos positivos e negativos no ambiente.
C.2.5 Justiça
A aplicação inadequada de sistemas de IA para a tomada de decisões automatizadas pode ser injusta
para pessoas ou grupos de pessoas.
C.2.6 Manutenibilidade
A manutenibilidade está relacionada à capacidade da organização de lidar com modificações

do sistema de IA para corrigir defeitos ou se ajustar a novos requisitos.

ABNT/CB-021
MAR 2024
C.2.7 Privacidade
O mau uso ou a divulgação de dados pessoais e sensíveis (por exemplo, registos de saúde) podem
trazer efeitos prejudiciais para os sujeitos de dados.
C.2.8 Robustez
Em IA, as propriedades de robustez demonstram a capacidade (ou incapacidade) de o sistema ter

desempenho comparável com dados novos, como nos dados nos quais foi treinado ou nos dados
de operações típicas.
C.2.9 Segurança física
A segurança física refere-se à expectativa de que um sistema de IA não conduza, em condições

especificadas, a um estado em que a vida humana, a saúde, a propriedade ou o ambiente
estejam ameaçadas.
C.2.10 Segurança
No contexto de IA e, em particular, no que diz respeito aos sistemas de IA baseados em abordagens

de ML, convém que novas questões de segurança sejam consideradas, além das preocupações
clássicas de segurança da informação e de sistema.
C.2.11 Transparência e explicabilidade
A transparência está relacionada tanto às características de uma organização que opera sistemas
de IA quanto a esses próprios sistemas. A explicabilidade refere-se a explicações de fatores importantes
que influenciam os resultados do sistema de IA que são fornecidos às partes interessadas de uma
forma compreensível para os seres humanos.
C.3 Fontes de risco
C.3.1 Complexidade do ambiente
Quando os sistemas de IA operam em ambientes complexos, onde a gama de situações é ampla,

pode haver incerteza sobre o desempenho e, portanto, uma fonte de risco (por exemplo, ambiente
complexo de direção autônoma).
C.3.2 Falta de transparência e explicabilidade
A incapacidade de fornecer informações adequadas às partes interessadas pode ser uma fonte
de risco (isto é, em termos de fidedignidade e responsabilização da organização).
C.3.3 Nível de automação
O nível de automação pode ter um impacto em várias áreas de preocupação, como segurança física,
justiça ou segurança.
C.3.4 Fontes de risco relacionadas ao aprendizadode máquina

ABNT/CB-021
MAR 2024
A qualidade dos dados usados para ML e o processo usado para coletar dados podem ser fontes
de risco, pois podem impactar objetivos como segurança e robustez (por exemplo, devido a problemas
na qualidade ou envenenamento de dados).
C.3.5 Questões de hardware do sistema

As fontes de risco relacionadas ao hardware incluem erros de hardware baseados em componentes

defeituosos ou transferência de modelos de ML treinados entre sistemas diferentes.
C.3.6 Questões de ciclo de vida do sistema
As fontes de risco podem aparecer ao longo de todo o ciclo de vida do sistema de IA

(por exemplo, falhas no projeto, implantação inadequada, falta de manutenção, questões relacionadas
ao descomissionamento).
C.3.7 Prontidão tecnológica
As fontes de risco podem estar relacionadas à tecnologia menos madura devido a fatores desconhecidos
(por exemplo, limitações de sistema e condições limítrofes, desvio de desempenho), mas também
devido à tecnologia mais madura devido à complacência tecnológica.

ABNT/CB-021
MAR 2024
Anexo D
(informativo)
Uso de sistema de gestão de IA entre domínios ou setores

D.1 Geral
Este sistema de gestão é aplicável a qualquer organização que desenvolva, forneça ou use produtos
ou serviços que utilizem sistemas de IA. Portanto, é potencialmente aplicável a uma grande variedade
de produtos e serviços, em diferentes setores, que estão sujeitos a obrigações, boas práticas,
expectativas ou compromisso contratual direcionado às partes interessadas. São exemplos de setores:
— saúde;
— defesa;
— transportes;
— finanças;
— emprego;
— energia.
Vários objetivos organizacionais (ver Anexo C para possíveis objetivos) podem ser considerados
para o desenvolvimento e uso responsáveis de sistemas de IA. Este documento fornece requisitos
e orientações a serem considerados a partir de uma visão específica da tecnologia de IA. Para vários
dos objetivos potenciais, existem normas genéricas ou setoriais específicas de sistema de gestão.
Essas normas de sistema de gestão consideram o objetivo geralmente de um ponto de vista neutro em
tecnologia, enquanto o sistema de gestão de IA fornece considerações específicas de tecnologia de IA.
Os sistemas de IA consistem não apenas em componentes que usam tecnologia de IA, mas podem
usar uma variedade de tecnologias e componentes. O desenvolvimento e o uso responsáveis
de sistemas de IA, portanto, não requerem que apenas considerações específicas de IA sejam
consieradas, mas que o sistema seja considerado como um todo com todas as tecnologias
e componentes que são utilizados. Mesmo para a parte específica da tecnologia de IA, convém que
outros aspectos, além de considerações específicas de IA, sejam considerados. Por exemplo, como
a IA é uma tecnologia de processamento de informações, a segurança da informação se aplica a ela.
Convém que objetivos como segurança física, segurança, privacidade e impacto ambiental sejam
gerenciados de forma holística e não separadamente para a IA e os outros componentes do sistema.
A integração do sistema de gestão de IA com normas de sistema de gestão genéricas ou específicas
de setor para tópicos relevantes é, portanto, essencial para o desenvolvimento e uso responsáveis
de sistemas de IA.
D.2 Integração do sistema de gestão de IA com outras normas de sistema

de gestão
Ao fornecer ou usar sistemas de IA, a organização pode ter objetivos ou obrigações relacionados
a aspectos que são tópicos de outras normas de sistema de gestão. Estes podem incluir, por exemplo,

ABNT/CB-021
MAR 2024
segurança, privacidade, qualidade, respectivamente tópicos tratados nas ABNT NBR ISO/IEC 27001,
ABNT NBR ISO/IEC 27701 e ABNT NBR ISO 9001.
Ao fornecer, usar ou desenvolver sistemas de IA, as seguintes normas genéricas de sistema de gestão,
mas não limitadas a elas, são potencialmente relevantes:
— ABNT NBR ISO/IEC 27001: na maioria dos contextos, a segurança é fundamental para atingir
os objetivos da organização com o sistema de IA. A maneira como uma organização persegue
os objetivos de segurança depende de seu contexto e de suas próprias políticas. Se uma
organização identificar a necessidade de implementar um sistema de gestão de IA e abordar
os objetivos de segurança de forma completa e sistemática, ela também pode considerar
a implementação de um sistema de gestão de segurança da informação em conformidade com
a ABNT NBR ISO/IEC 27001. Como tanto a ABNT NBR ISO/IEC 27001 quanto os sistemas
de gestão de IA têm estruturas semelhantes, seu uso integrado é facilitado e de grande benefício
para a organização. Nesse caso, a maneira de implementar controles que (parcialmente)
se relacionam com a segurança da informação neste documento (ver B.6.1.2) pode ser integrada
com a implementação da ABNT NBR ISO/IEC 27001 pela organização.
— ABNT NBR ISO/IEC 27701: em muitos contextos e domínios de aplicação, os DP são

tratados por sistemas de IA. A organização pode então cumprir com as obrigações aplicáveis
em matéria de privacidade e com as suas próprias políticas e objetivos. Da mesma forma,
quanto à ABNT NBR ISO/IEC 27001, a organização pode se beneficiar da integração
da ABNT NBR ISO/IEC 27701 com o sistema de gestão de IA. Os objetivos e controles
relacionados à privacidade do sistema de gestão de IA (ver B.2.3 e B.5.4) podem ser integrados
à implementação da ABNT NBR ISO/IEC 27701 pela organização.
— ABNT NBR ISO 9001: para muitas organizações, a conformidade com a ABNT NBR ISO 9001
é um sinal fundamental de que elas estão orientadas para o cliente com uma preocupação
genuína de eficácia interna. Uma avaliação de conformidade independente para
a ABNT NBR ISO 9001 facilita os negócios em todas as organizações e inspira a confiança
do cliente em produtos e serviços. O nível de confiança do cliente pode ser altamente reforçado
quando um sistema de gestão de IA é implementado em conjunto com a ABNT NBR ISO 9001,
quando tecnologias de IA estão envolvidas. O sistema de gestão de IA pode ser complementar
aos requisitos da ABNT NBR ISO 9001 (gestão de riscos, desenvolvimento de software,
coerência da cadeia de suprimentos etc.) para ajudar a organização a atingir seus objetivos.
Além das normas genéricas de sistema de gestão mencionados acima, um sistema de gestão de IA
também pode ser usado em conjunto com um sistema de gestão dedicado a um setor. Por exemplo,
tanto a ABNT NBR ISO 22000 quanto um sistema de gestão de IA são relevantes para sistemas
de IA que são usados para produção, preparação e logística de alimentos. Outro exemplo
é a ABNT NBR ISO 13485. A implementação de um sistema de gestão de IA pode suportar requisitos
relacionados ao software de dispositivos médicos na ABNT NBR ISO 13485 ou requisitos de outras
normas do setor médico, como a ABNT NBR IEC 62304.

ABNT/CB-021
MAR 2024
Bibliografia
[1] ISO 8000-2, Data quality – Part 2: Vocabulary

[2] ABNT NBR ISO 9001, Sistemas de gestão da qualidade - Requisitos
[3] ISO 9241-210, Ergonomics of human-system interaction – Part 210: Human-centred design for
interactive systems
[4] ABNT NBR ISO 13485, Produtos para saúde – Sistemas de gestão da qualidade – Requisitos
para fins regulamentares
[5] ABNT NBR ISO 22000, Sistemas de gestão de segurança de alimentos - Requisitos para qualquer
organização na cadeia produtiva de alimentos
[6] ABNT NBR IEC 62304, Software de dispositivo médico – Processo do ciclo de vida do software
[7] ISO/IEC Guide 51, Safety aspects – Guidelines for their inclusion in standards
[8] ISO/IEC TS 4213, Information technology – Artificial intelligence – Assessment of machine

learning classification performance
[9] ISO/IEC 5259 (all parts2)), Data quality for analytics and Machine Learning (ML)
[10] ISO/IEC 5338, Information technology – Artificial intelligence – AI system life cycle process
[11] ABNT NBR ISO/IEC 17065, Avaliação da conformidade – Requisitos para organismos
de certificação de produtos, processos e serviços
[12] ISO/IEC 19944-1, Cloud computing and distributed platforms ─ Data flow, data categories and
data use – Part 1: Fundamentals
[13] ISO/IEC 23053, Framework for Artificial Intelligence (AI) Systems Using Machine Learning (ML)
[14] ABNT NBR ISO/IEC 23894, Tecnologia da informação – Inteligência artificial – Orientações sobre
gestão de riscos
[15] ABNT ISO/IEC TR 24027, Tecnologia da informação – Inteligência artificial (IA) – Viés em sistemas
de IA e tomada de decisão auxiliada por IA
[16] ISO/IEC TR 24029-1, Artificial Intelligence (AI) – Assessment of the robustness of neural networks
– Part 1: Overview
[17] ISO/IEC TR 24368, Information technology – Artificial intelligence – Overview of ethical and
societal concerns
[18] ISO/IEC 25024, Systems and software engineering – Systems and software Quality Requirements
and Evaluation (SQuaRE) – Measurement of data quality

ABNT/CB-021
MAR 2024
[19] ISO/IEC 25059, Software engineering – Systems and software Quality Requirements and
Evaluation (SQuaRE) – Quality model for AI systems
[20] ISO/IEC 27000:2018, Information technology – Security techniques – Information security

management systems – Overview and vocabulary
[21] ABNT NBR ISO/IEC 27701, Técnicas de segurança – Extensão da ABNT NBR ISO/IEC 27001
e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação – Requisitos e diretrizes
[22] ABNT NBR ISO/IEC 27001, Segurança da informação, segurança cibernética e proteção
à privacidade – Sistemas de gestão da segurança da informação – Requisitos
[23] ABNT NBR ISO/IEC 29100, Tecnologia da informação – Técnicas de segurança – Estrutura
de Privacidade
[24] ABNT NBR ISO 31000:2018, Gestão de riscos - Diretrizes
[25] ABNT NBR ISO 37002, Sistemas de gestão de denúncias - Diretrizes
[26] ABNT NBR ISO/IEC 38500:2018, Tecnologia da informação - Governança da TI para a organização
[27] ABNT NBR ISO/IEC 38507, Tecnologia da informação – Governança de TI – Implicações

de governança do uso de inteligência artificial pelas organizações
[28] Lifecycle D.D.I. 3.3, 2020-04-15. Data Documentation Initiative (DDI) Alliance. [visualizado
em 2022-02-19]. Disponível em: https://ddialliance.org/Specification/DDI-Lifecycle/3.3/
[29] Risk Framework N.I.S.T.-A.I. 1.0, 2023-01-26. National Institute of Technology (NIST) [visualizado
em 2023-04-17] https://www.nist.gov/itl/ai-risk-management-framework

NORMA ISO 42.001 Tecnologia Da Informação - Inteligência Artificial - Sistema de Gestão Tradução ABNT

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

NORMA ISO 42.001 Tecnologia Da Informação - Inteligência Artificial - Sistema de Gestão Tradução ABNT

Enviado por

Direitos autorais:

Formatos disponíveis

ABNT/CB-021

PROJETO ABNT NBR ISO/IEC 42001

Tecnologia da informação — Inteligência artificial — Sistema de gestão

do Comitê Brasileiro de Tecnologias da Informação e Transformação Digital (ABNT/CB-021),

13.07.2023 15.09.2023 16.11.2023

b) não tem valor normativo.

3) Analista ABNT – Carolina Martins de Oliveira.

NÃO TEM VALOR NORMATIVO

Tecnologia da informação — Inteligência artificial — Sistema de gestão

Information technology — Artificial intelligence — Management system

A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização. As Normas

Os Documentos Técnicos internacionais adotados são elaborados conforme as regras da

O Escopo da ABNT NBR ISO/IEC 42001 em inglês é o seguinte:

NÃO TEM VALOR NORMATIVO

NÃO TEM VALOR NORMATIVO

As necessidades e objetivos da organização, os processos, a estrutura de tamanho e as expectativas

— determinação dos objetivos da organização, participação das partes interessadas e política

— gestão de riscos e oportunidades;

NÃO TEM VALOR NORMATIVO

— processos para gestão de fornecedores, parceiros e terceiros que forneçam ou desenvolvam

Compatibilidade com outras normas de sistema de gestão

NÃO TEM VALOR NORMATIVO

Tecnologia da informação — Inteligência artificial — Sistema de gestão

Este documento especifica os requisitos e fornece orientações para estabelecer, implementar,

Este documento é aplicável a qualquer organização, independentemente do tamanho, tipo e natureza,

ABNT NBR ISO/IEC 22989:2023, Tecnologia da informação – Inteligência artificial – Conceitos

— ISO Online browsing platform: disponível em: https://www.iso.org/obp

— IEC Electropedia: disponível em: http://www.electropedia.org/

NÃO TEM VALOR NORMATIVO 1/60

Nota 1 de entrada: Um objetivo pode ser estratégico, tático ou operacional.

Nota 1 de entrada: Um efeito é um desvio do esperado – positivo ou negativo.

2/60 NÃO TEM VALOR NORMATIVO

Nota 2 de entrada: Informação documentada pode se referir a:

NÃO TEM VALOR NORMATIVO 3/60

necessidade ou expectativa que é declarada, geralmente implícita ou obrigatória

4/60 NÃO TEM VALOR NORMATIVO

[FONTE: ISO/IEC 38500:2015, 2.9, modificada - Notas de entrada incluídas].

[FONTE: ISO/IEC 27000:2018, 3.28]

[FONTE: ISO/IEC 5259-1:—1)), 3.4]

1) Em desenvolvimento. Estágio no momento da publicação: ISO/IEC DIS 5259-1:2023.

NÃO TEM VALOR NORMATIVO 5/60

A organização deve determinar se mudanças climáticas são questões relevantes.

— provedores de IA, incluindo provedores de plataformas de IA, fornecedores de produtos ou serviços

— clientes de IA, incluindo usuários de IA;

— parceiros de IA, incluindo integradores de sistemas de IA e provedores de dados;

— sujeitos de IA, incluindo titulares de dados, e outros sujeitos;

— autoridades competentes, incluindo formuladores de políticas e reguladores.

a) considerações relacionadas ao contexto externo, como:

1) obrigações legais aplicáveis, incluindo usos proibidos de IA;

2) políticas, diretrizes e decisões de reguladores que tenham impacto na interpretação ou execução

3) incentivos ou consequências associados ao propósito pretendido e ao uso dos sistemas de IA;

4) cultura, tradições, valores, normas e ética em relação ao uso e desenvolvimento de IA;

6/60 NÃO TEM VALOR NORMATIVO

b) considerações relacionadas ao contexto interno, como:

1) contexto organizacional, governança, objetivos (ver 6.2), políticas e procedimentos;

3) propósito pretendido dos sistemas de IA a serem utilizados ou desenvolvidos.

4.2 Entendendo as necessidades e expectativas de partes interessadas

— as partes interessadas que sejam pertinentes para o sistema de gestão de IA;

— os requisitos pertinentes dessas partes interessadas;

4.3 Determinando o escopo do sistema de gestão de IA

Ao determinar esse escopo, a organização deve considerar:

— as questões externas e internas referidas em 4.1;

— os requisitos referidos em 4.2.