A perspetiva da Cyber Academy
AAIA é a credencial avançada da ISACA para auditoria de sistemas, modelos e governação de IA. Mais recente (a partir de 2024). Requer CISA ou equivalente. Concebida para auditores sénior que pretendem adquirir competências em IA, alinhada com a ISO 42001 e as obrigações de alto risco do AI Act.
Para que serve a credencial AAIA
Advanced in AI Audit (AAIA) é uma credencial da ISACA concebida para auditores experientes que precisam de estender a sua prática à inteligência artificial. É uma adição recente ao portefólio da ISACA, introduzida quando a IA passou de projetos-piloto para sistemas em produção que conselhos de administração, reguladores e clientes esperam agora poder assegurar. A premissa é estreita e deliberada: pressupõe que já sabe auditar. A AAIA não volta a ensinar o processo de auditoria. Ensina-o a aplicar a disciplina de auditoria aos sistemas de IA, aos modelos que os sustentam e à governação que os envolve.
Esse foco é a razão pela qual a AAIA se posiciona como avançada e não de nível inicial. Dirige-se a auditores que já possuem uma credencial de auditoria e um domínio operacional de controlos, evidências e relatórios, e que agora têm de responder a perguntas que uma auditoria de TI tradicional nunca foi concebida para colocar. Os dados de treino são adequados à finalidade? O comportamento do modelo pode ser explicado? Existe uma supervisão humana significativa onde o sistema toma decisões de grande relevância? A IA é utilizada apenas para a sua finalidade declarada? São estas as lacunas que a AAIA pretende colmatar.
Pré-requisitos e onde se enquadra
A AAIA foi concebida para assentar numa base de auditoria existente em vez de funcionar de forma isolada. A ISACA posiciona-a para auditores seniores e, na prática, espera-se que os candidatos possuam CISA ou uma credencial de auditoria reconhecida equivalente antes de a abordarem. A lógica é a mesma que a ISACA aplica a toda a sua oferta avançada: a certificação acrescenta uma especialização sobre uma base comprovada, não substitui essa base. Um auditor que nunca conduziu um trabalho retirará pouco proveito da AAIA, ao passo que um titular de CISA experiente obtém um método estruturado para tornar os trabalhos de IA defensáveis.
Como se articula com a ISO 42001 e o Regulamento Europeu de IA
O que torna a AAIA prática e não académica é o facto de assentar nos referenciais que os auditores são agora chamados a testar. Articula-se com a ISO/IEC 42001, a norma de sistema de gestão para a IA, que dá ao auditor uma estrutura de controlo reconhecida para a governação da IA: responsabilização, qualidade dos dados, transparência, supervisão humana e avaliação de impacto. Alinha-se também com as obrigações que o EU AI Act impõe aos sistemas de alto risco, em que os fornecedores devem operar um sistema de gestão de riscos, manter documentação técnica, assegurar supervisão humana e realizar monitorização pós-comercialização. A AAIA dota o auditor para reunir evidências precisamente face a essas expectativas.
É aqui que a AAIA difere de uma qualificação geral em governação de IA. Um certificado de governação ensina-o a conceber e operar um sistema de gestão de IA. A AAIA ensina-o a avaliá-lo de forma independente: planear uma auditoria de IA, delimitá-la em torno da finalidade prevista e do risco, testar os controlos, avaliar as evidências e relatar constatações sobre as quais um conselho ou um regulador possa agir. É a contraparte de garantia das competências de construção e operação que referenciais como a ISO 42001 instalam.
O que os titulares da AAIA realmente fazem
Na prática, um auditor com capacidade AAIA tende a percorrer uma sequência reconhecível num trabalho de IA:
- Delimitar a auditoria em torno da finalidade prevista do sistema de IA, da sua classificação de risco e do papel da organização como criador, fornecedor ou responsável pela implementação.
- Avaliar a governação: se a responsabilização está atribuída, se existem avaliações de risco e de impacto da IA e se são mantidas atualizadas.
- Testar os controlos que importam para a IA, incluindo a governação dos dados, a documentação dos modelos, a transparência para os utilizadores afetados e a supervisão humana.
- Avaliar a monitorização pós-implementação, o tratamento de incidentes e o ciclo de retroação que mantém o sistema dentro dos seus limites declarados.
- Relatar as constatações numa linguagem de auditoria que corresponda com clareza aos controlos da ISO 42001 e às obrigações do AI Act, para que a organização possa colmatar lacunas com evidências.
O valor para uma organização é a independência. Uma equipa de governação de IA pode atestar que os controlos existem; um auditor dotado de AAIA pode fornecer a garantia de tipo terceira parte de que esses controlos efetivamente funcionam, que é cada vez mais o que reguladores, compradores empresariais e funções de aquisições pedem para ver.
Frequently asked questions
01Preciso de CISA antes de fazer a AAIA?
A AAIA foi concebida para auditores seniores e pressupõe uma credencial de auditoria existente como o CISA ou equivalente. Assenta numa base de auditoria comprovada em vez de ensinar o processo de auditoria de raiz, pelo que se espera que os candidatos cheguem já com essa base estabelecida.
02Em que é que a AAIA difere da certificação ISO 42001?
Situam-se em lados opostos da mesma mesa. A ISO 42001 é uma norma de sistema de gestão que ajuda uma organização a construir e operar a governação da IA. A AAIA é uma credencial de auditor que o dota para avaliar essa governação de forma independente e relatar se os controlos funcionam.
03A AAIA é relevante para o EU AI Act?
Sim. A AAIA alinha-se com as obrigações que o AI Act impõe aos sistemas de alto risco, como a gestão de riscos, a documentação técnica, a supervisão humana e a monitorização pós-comercialização. Prepara o auditor para reunir e avaliar evidências face a essas expectativas.
04A quem se destina a AAIA?
A auditores de TI e internos experientes que precisam de acrescentar a garantia de IA à sua prática. É uma especialização avançada, não uma introdução à auditoria, pelo que se adequa a profissionais que já conduzem trabalhos e que agora enfrentam sistemas de IA no âmbito.