A perspetiva da Cyber Academy
A governança de IA é a disciplina de operar sistemas de IA sob controlo: risco, transparência, viés, validação, segurança e exposição regulatória. O sistema de gestão de referência é a ISO/IEC 42001, publicada em dezembro de 2023, o equivalente em IA do ISMS da ISO 27001. O panorama de credenciais divide-se em dois: ISO 42001 (PECB) para a camada do sistema de gestão, e as certificações ISACA Advanced in AI (AAIA para auditoria, AAIR para risco, AAISM para segurança) para a camada de disciplina profissional. Ambas se mapeiam para o EU AI Act e o NIST AI RMF.
TL;DR
- 1A ISO/IEC 42001 é a norma de sistema de gestão para IA (um sistema de gestão de IA, ou AIMS), publicada em dezembro de 2023. É o equivalente AIMS do ISMS da ISO 27001. A PECB emite o percurso Foundation, Lead Implementer e Lead Auditor.
- 2O percurso ISACA Advanced in AI é a camada de disciplina profissional: AAIA (auditoria), AAIR (risco), AAISM (segurança). Cada um pressupõe uma certificação ISACA existente (CISA, CRISC, CISM).
- 3O EU AI Act diz o que demonstrar para um sistema de alto risco. A ISO 42001 diz como organizar a prova. O NIST AI RMF é o método operacional de risco que a alimenta.
- 4Escolha por função: construir o sistema, ISO 42001 Lead Implementer. Auditar IA, AAIA. Gerir risco de IA, AAIR ou PECB AI Risk Manager. Proteger modelos, AAISM. Liderar a entrega de IA, CAIP.
- 5Não existe uma única "certificação de governança de IA". Um profissional sénior combina a credencial de sistema de gestão ISO 42001 com uma credencial de disciplina.
Pergunte a cinco fornecedores sobre certificação de governança de IA e obterá cinco respostas diferentes, porque o mercado ainda não estabilizou. Não existe um único certificado de governança de IA da forma como existe um único CISM ou um único CISA. Existem duas camadas distintas, emitidas por dois organismos diferentes, respondendo a duas perguntas diferentes: como governar a IA enquanto organização, e como auditá-la, avaliar o seu risco ou protegê-la enquanto profissional.
Esta página mapeia as duas camadas sobre a norma (ISO/IEC 42001), a regulamentação (o EU AI Act) e o framework dos EUA (NIST AI RMF), depois indica qual credencial se ajusta a qual função e como formar uma equipa sem enviar toda a gente ao mesmo curso de cinco dias. Foi escrita para o CISO, o responsável GRC ou o auditor que tem de tomar a decisão.
As duas camadas de credenciais de governança de IA
Cada credencial de governança de IA no mercado situa-se numa de duas camadas.
- A camada de sistema de gestão responde a "como governa a organização a sua IA?". A referência é a ISO/IEC 42001, a norma internacional de sistema de gestão de IA. A PECB emite um percurso Foundation, Lead Implementer e Lead Auditor face a ela, exatamente como faz para a ISO 27001.
- A camada de disciplina profissional responde a "o que faz este profissional com a IA?". A referência é o percurso ISACA Advanced in AI: AAIA para auditores, AAIR para gestores de risco, AAISM para gestores de segurança. Cada um é avançado e pressupõe que já detém a certificação ISACA correspondente.
As duas camadas são complementares. Uma função madura de governança de IA detém ambas: uma credencial de sistema de gestão ISO 42001 para construir e operar o sistema, e uma credencial de disciplina ISACA por cada função que opera dentro dele.
ISO/IEC 42001: o sistema de gestão de IA
A ISO/IEC 42001:2023, publicada em dezembro de 2023, é a primeira norma internacional para um sistema de gestão de IA (AIMS). É o equivalente em IA do ISMS da ISO 27001: uma política, papéis definidos, um processo de avaliação de risco de IA, controlos sobre o ciclo de vida do sistema de IA, um Anexo A de controlos específicos de IA e um ciclo de revisão pela gestão que mantém o conjunto íntegro.
O percurso de certificação PECB face a ela espelha a ISO 27001:
- A ISO 42001 Foundation (2 dias) dá o vocabulário e o modelo de sistema de gestão. É o pré-requisito para as credenciais séniores.
- A ISO 42001 Lead Implementer (5 dias) ensina-o a construir o AIMS: âmbito, avaliação de risco de IA, a Statement of Applicability, os controlos, o ciclo operacional. É a credencial para quem detém a governança de IA.
- A ISO 42001 Lead Auditor (5 dias) ensina-o a auditar um AIMS: evidência, amostragem, técnica de entrevista, constatações. É a credencial para a auditoria interna e para os auditores de organismos de certificação.
O percurso ISACA Advanced in AI: AAIA, AAIR, AAISM
As credenciais ISACA Advanced in AI são a camada de disciplina profissional. São avançadas por conceção: cada uma pressupõe que já detém a certificação ISACA fundamental dessa disciplina, e cada uma é mapeada sobre a ISO 42001 e as obrigações de alto risco do EU AI Act, em vez de ensinada no vazio.
| Credencial | Disciplina | Pressupõe | Concebida para |
|---|---|---|---|
| AAIA. Advanced in AI Audit | Auditar sistemas, modelos e governança de IA | CISA | Auditores de TI séniores, responsáveis de conformidade |
| AAIR. Advanced in AI Risk | Avaliação, quantificação, tratamento e monitorização de risco de IA | CRISC | Gestores de risco de TI, CROs |
| AAISM. Advanced in AI Security Management | Modelação de ameaças de IA, ciclo de vida seguro do modelo, operações de segurança de IA | CISM | CISOs, arquitetos de segurança |
Os três cursos na Cyber Academy são AAIA, AAIR e AAISM. Escolha pelo que faz, não pelo que é mais recente.
Onde se encaixam o PECB AI Risk Manager e o CAIP
Mais duas credenciais PECB situam-se ao lado do percurso ISO 42001. O AI Risk Manager é uma credencial de risco focada para profissionais que operam programas de risco específicos de IA (risco de modelo, viés, drift, risco de modelos de terceiros) sem o âmbito completo de sistema de gestão do Lead Implementer. O Certified Artificial Intelligence Professional (CAIP) é a credencial de profissional mais ampla, para quem constrói e implementa IA de forma responsável ao longo do ciclo de vida, útil para líderes técnicos que precisam do vocabulário de governança sem deter o AIMS.
Se já opera um programa de risco ISO 27001 e quer estendê-lo à IA, o AI Risk Manager é a ponte mais curta. Se lidera a entrega de IA e precisa da literacia de governança que o AI Act agora lhe exige, o CAIP é o melhor ajuste.
Como as credenciais se mapeiam para o AI Act e o NIST AI RMF
Nenhuma destas credenciais existe isoladamente. São ensinadas face à regulamentação e aos frameworks que uma função de governança de IA tem efetivamente de satisfazer.
| Instrumento | O que é | Certificável? | Papel no seu programa |
|---|---|---|---|
| EU AI Act | Regulation (EU) 2024/1689 | Não. Avaliação de conformidade, não certificação | O que demonstrar para um sistema de alto risco |
| ISO/IEC 42001 | Norma de sistema de gestão de IA | Sim. Certificação AIMS + credenciais PECB | Como organizar a prova |
| NIST AI RMF | Framework voluntário de risco dos EUA (Govern, Map, Measure, Manage) | Não | Método operacional de risco que alimenta o sistema |
| ISO/IEC 23894 | Orientação de gestão de risco de IA | Não | Metodologia de risco, alinhada com a ISO, dentro do AIMS |
O percurso canónico para uma organização europeia: construir o AIMS com a ISO 42001 Lead Implementer, mapear as obrigações de alto risco do AI Act sobre os controlos do AIMS, e usar o NIST AI RMF ou a ISO 23894 como metodologia de risco. A credencial ISACA Advanced equipa então a função (auditoria, risco ou segurança) que tem de operar dentro desse sistema.
Como formar uma equipa em governança de IA
O erro é enviar toda a gente ao mesmo curso. A governança de IA é transversal, e as funções precisam de profundidades diferentes.
- Comece com uma base partilhada. A ISO 42001 Foundation, ou um briefing de literacia sobre o AI Act que satisfaça a obrigação de literacia em IA do Article 4 do Act, dá a todos o mesmo vocabulário antes de se especializarem.
- Envie os responsáveis de governança e conformidade para a ISO 42001 Lead Implementer. Eles constroem e operam o AIMS.
- Envie a auditoria interna para a AAIA, a função de risco para a AAIR e a função de segurança para a AAISM. Cada uma opera dentro do AIMS a partir do seu próprio ângulo.
- Adicione a ISO 42001 Lead Auditor apenas se operar um programa de auditoria interna face ao AIMS ou integrar um organismo de certificação.
A decisão, numa linha
Construir o sistema: ISO 42001 Lead Implementer. Auditar IA: AAIA. Gerir risco de IA: AAIR ou PECB AI Risk Manager. Proteger modelos: AAISM. Liderar a entrega de IA e precisar de literacia de governança: CAIP. Não existe um único certificado de governança de IA, e quem lhe vende um está a vender-lhe uma fatia.
Frequently asked questions
01Existe uma certificação de governança de IA, e qual devo tirar?
Não existe uma única certificação de governança de IA. O espaço divide-se em duas camadas. A camada de sistema de gestão é a ISO/IEC 42001: a PECB emite Foundation (2 dias), Lead Implementer (5 dias, construir o AIMS) e Lead Auditor (5 dias, auditar um). A camada de disciplina profissional é o percurso ISACA Advanced in AI: AAIA para auditar IA, AAIR para risco de IA, AAISM para gestão de segurança de IA.
Para quem governa a IA ao nível organizacional, a ISO 42001 Lead Implementer é a pedra angular. Para quem audita, avalia risco ou protege a IA dentro de uma função GRC existente, a credencial ISACA Advanced correspondente é o sinal mais forte. A maioria dos profissionais séniores detém uma de cada.
02O que é a ISO/IEC 42001 e como se relaciona com o EU AI Act?
A ISO/IEC 42001:2023 é a norma internacional para sistemas de gestão de IA, publicada em dezembro de 2023. Define como uma organização estabelece, opera e melhora a governança dos seus sistemas de IA: política, papéis, avaliação de risco de IA, o ciclo de vida do sistema de IA, um Anexo A de controlos específicos de IA e o ciclo de revisão pela gestão. É o equivalente AIMS do ISMS da ISO 27001.
A norma, por si só, não satisfaz o EU AI Act. O Act tem requisitos técnicos específicos de produto para sistemas de alto risco. Mas a ISO 42001 fornece a base de sistema de gestão que os auditores e os organismos notificados reconhecem. O percurso canónico é a ISO 42001 para construir o AIMS, depois mapear as obrigações de alto risco do AI Act sobre os controlos do AIMS.
03AAIA vs AAIR vs AAISM: qual certificação ISACA de IA?
Três perspetivas sobre IA, todas pressupondo uma credencial ISACA existente. A AAIA (Advanced in AI Audit) destina-se a auditores: auditar sistemas, modelos e governança de IA, mapeados sobre a ISO 42001 e o AI Act. Tipicamente detida com CISA.
A AAIR (Advanced in AI Risk) destina-se a profissionais de risco: avaliação, quantificação, tratamento e monitorização de risco de IA. Tipicamente detida com CRISC. A AAISM (Advanced in AI Security Management) destina-se a líderes de segurança: modelação de ameaças de IA, o ciclo de vida seguro do modelo e operações de segurança de IA. Tipicamente detida com CISM.
04Como formo uma equipa inteira em governança de IA?
Sequencie por função. Comece com uma base partilhada (ISO 42001 Foundation ou um briefing de literacia sobre o AI Act que satisfaça o Article 4). Envie os responsáveis de governança e conformidade para a ISO 42001 Lead Implementer; a auditoria interna para a AAIA; a função de risco para a AAIR; a função de segurança para a AAISM.
Para um desdobramento entre equipas, uma turma interna tem preço por turma e mapeia os exercícios para o seu parque de IA. A chamada de descoberta delimita quais os papéis que precisam de qual credencial primeiro. A maioria das equipas compra a mais lugares de Lead Implementer e a menos credenciais de disciplina.
05Onde se encaixa o NIST AI RMF face à ISO 42001?
O NIST AI Risk Management Framework (AI RMF 1.0, janeiro de 2023) é o framework voluntário dos EUA estruturado em torno de Govern, Map, Measure e Manage. Não é certificável nem é uma norma de sistema de gestão. É um manual de operação para a função de risco.
A ISO 42001 e o NIST AI RMF são complementares. A ISO 42001 fornece o sistema de gestão certificável; o NIST AI RMF fornece o método operacional de risco que o alimenta. As organizações expostas tanto a contextos da UE como dos EUA operam um AIMS ISO 42001 com o NIST AI RMF, e a orientação relacionada da ISO/IEC 23894, como metodologia de risco no seu interior.
