Do risco à evidência: o papel do OWASP AIMA na auditoria de segurança

A Importância da Governança em Inteligência Artificial

A adoção de inteligência artificial (IA) em processos corporativos críticos já é uma realidade. Atualmente, agentes de IA estão envolvidos em decisões operacionais, financeiras e estratégicas. Nesse contexto, a implementação de frameworks de governança e risco para IA se torna essencial, com destaque para o OWASP AI Maturity Assessment (AIMA).

O desafio surge quando frameworks de maturidade são vistos como substitutos de controles internos auditáveis, especialmente em ambientes que exigem avaliações formais, como a SOX. Muitas organizações confundem maturidade com controle, o que pode levar a falhas na gestão de riscos.

O que é o framework AIMA e qual o seu propósito

O OWASP AI Maturity Assessment (AIMA) é um framework criado pela OWASP Foundation para avaliar a maturidade das organizações no uso de inteligência artificial. Ele se concentra em risco, segurança, governança e melhoria contínua, sem caráter regulatório.

O AIMA organiza o uso de IA em várias dimensões, incluindo:

• Governança e accountability;
• Qualidade e gestão de dados;
• Ética, viés e fairness;
• Segurança e robustez;
• Transparência e explicabilidade;
• Operação, monitoramento e resposta a incidentes.

Esse framework resulta em uma avaliação estruturada, frequentemente apresentada como níveis de maturidade ou um scorecard percentual, que indica a aderência da organização às boas práticas em cada dimensão.

O AIMA é útil para:

• Identificar riscos de IA de forma estruturada;
• Comparar áreas, produtos ou agentes de IA;
• Priorizar investimentos e iniciativas;
• Apoiar comitês de governança e decisões estratégicas;
• Servir como instrumento de segunda linha de defesa.

É importante ressaltar que o AIMA é um framework de avaliação, e não um substituto para controles internos.

O que auditorias de controles internos realmente avaliam

As auditorias de controles internos têm um foco distinto. Elas não apenas verificam se os riscos são conhecidos, mas também se existem controles eficazes para mitigá-los.

Essas auditorias buscam responder perguntas como:

• O risco foi adequadamente endereçado?
• Há um controle formal para mitigá-lo?
• O controle foi executado conforme o planejado?
• Existem evidências suficientes e rastreáveis dessa execução?

Frameworks de maturidade, como o AIMA, ajudam a responder à primeira pergunta, enquanto auditorias exigem respostas claras para todas as demais.

A SOX como exemplo de exigência formal de controles internos

A Sarbanes-Oxley Act (SOX) é um exemplo rigoroso de exigência de controles internos, criada após escândalos corporativos nos anos 2000 para aumentar a confiabilidade das informações financeiras.

A Seção 404 da SOX exige que a administração:

• Estabeleça controles internos adequados sobre o reporte financeiro;
• Avalie a eficácia desses controles;
• Sustente essa avaliação com evidências;
• Submeta essa avaliação à revisão de auditores independentes.

Os princípios da SOX são replicados em outros contextos regulatórios, enfatizando a importância de controles desenhados, executados e testados.

Onde ocorre o desalinhamento entre AIMA e auditoria

O desalinhamento entre AIMA e auditoria se dá principalmente na questão da evidência. Um score de maturidade, mesmo que bem fundamentado, é uma avaliação baseada em percepções, enquanto auditorias exigem evidências concretas.

Auditores não se baseiam em percentuais de maturidade, mas em:

• Controles formalmente definidos;
• Responsáveis claros;
• Frequência de execução;
• Evidência concreta e verificável.

Frameworks como o AIMA tratam temas clássicos de controles internos como fatores de risco, não como controles testáveis, o que é uma diferença crucial.

O posicionamento correto do AIMA em ambientes auditáveis

A integração do AIMA com auditorias é a abordagem mais eficaz. O AIMA deve ser utilizado para identificar e priorizar riscos de IA, que depois precisam ser traduzidos em controles internos formais.

Esses controles devem ser parte do ambiente de controle da organização, sujeitos a testes de desenho e efetividade, independentemente da tecnologia utilizada.

Quando bem posicionado, o AIMA fortalece a comunicação entre tecnologia, risco e auditoria. Usá-lo como substituto de controles internos pode criar uma falsa sensação de conformidade.

Conclusão

O OWASP AI Maturity Assessment (AIMA) é uma ferramenta relevante para organizações que utilizam inteligência artificial, mas não deve substituir frameworks de controles internos nem sustentar, sozinho, uma opinião de auditoria.

Maturidade não é controle, e score não é evidência. Organizações que entendem essa diferença conseguem escalar o uso de IA com segurança e atender às expectativas de auditoria, evitando surpresas durante avaliações formais de controles internos.

Fonte por: Its Show