A adoção de IA em processos críticos evoluiu para além do discurso. Hoje, agentes de IA participam de decisões operacionais, financeiras e estratégicas; por isso, frameworks de governança e risco se tornam indispensáveis. O OWASP AI Maturity Assessment (AIMA) surge como referência para medir maturidade, mas não substitui controles internos auditáveis submetidos a SOX/ICFR.
O AIMA organiza o uso de IA em dimensões como Governança, Qualidade de dados, Ética, Segurança, Transparência e Operação. O resultado costuma ser um conjunto de níveis de maturidade ou um scorecard de aderência às boas práticas, útil para identificar riscos, priorizar investimentos e informar comitês de governança.
Entretanto, o AIMA é um framework de avaliação de maturidade, não um conjunto prescritivo de controles. Auditorias de controles internos buscam eficácia de controles desenhados, evidências de execução e rastreabilidade, indo além da percepção de maturidade. Assim, maturidade não é evidência, e score não é teste de controle.
A SOX, por exemplo, estabelece um regime rigoroso de controles internos sobre o reporte financeiro. A Seção 404 exige design, implementação, evidência e revisão por auditores independentes. Embora útil para guiar padrões, a SOX está ancorada na apresentação de controles testáveis, não apenas na avaliação de maturidade de IA.
A recomendação é integrar: usar o AIMA para identificar e priorizar riscos de IA e convertê-los em controles internos formais. Esses controles devem passar por desenho, efetividade e testes, com evidências claras, sob o guarda-chuva de governança de TI e auditoria interna. O objetivo é reduzir lacunas entre risco percebido e evidência operacional.
Conforme o mercado amadurece, a integração entre governança de IA, risco e auditoria se mostra essencial para escalar a IA com segurança. Quem entende a diferença entre maturidade e controle evita surpresas em avaliações formais e mantém conformidade contínua.
Este enfoque também destaca a necessidade de manter a comunicação entre tecnologia, risco e auditoria clara e contínua, para que a maturidade guie decisões estratégicas sem criar falsas certezas de conformidade.
