Você vai receber o questionário.
Se já não recebeu, vai receber nos próximos 12 meses.
Bancos, seguradoras, varejistas de grande porte, empresas listadas — qualquer um desses que compra de você vai incluir IA no processo de homologação de fornecedores. Está acontecendo agora. E a maioria das empresas fornecedoras não está preparada.
O questionário não pede certificação. Pede evidência.
A diferença importa.
Por que clientes enterprise estão exigindo evidência de IA
O driver é regulatório — mas o mecanismo é contratual.
Bancos e seguradoras no Brasil estão sob escopo do Bacen e da SUSEP em relação a risco de terceiros e uso de IA. A Resolução Bacen 4.557 já trata risco operacional de forma que inclui sistemas automatizados. O Circular SUSEP 638 abriu o mesmo caminho para seguradoras.
Quando o banco precisa demonstrar ao regulador que seus fornecedores têm práticas adequadas de IA, ele transfere essa exigência para o contrato com o fornecedor.
Não como pedido educado. Como cláusula.
Empresas listadas têm lógica similar. Desde que o SEC americano passou a exigir disclosure de risco de IA em reportes anuais, empresas com ADRs ou exposição ao mercado americano replicaram a exigência para a cadeia de fornecimento.
E empresas europeas com operação no Brasil aplicam o EU AI Act como padrão global — o que significa que seus fornecedores brasileiros recebem o mesmo questionário que os europeus.
O resultado prático: qualquer empresa que vende B2B para esses setores vai ser perguntada.
Os 5 itens mais pedidos em questionários
O formato varia. O conteúdo não.
Esses cinco itens aparecem em mais de 80% dos questionários de fornecedor que incluem IA como escopo:
1. Vocês têm política formal de uso de IA?
Não basta dizer que sim. Pedem cópia ou confirmação de que existe, está aprovada e está em vigor. Data de aprovação é verificada.
2. Vocês mantêm inventário dos sistemas de IA em uso?
Especialmente aqueles que processam dados do cliente contratante. A pergunta implícita é: vocês sabem o que está rodando com meus dados?
3. Vocês têm processo de avaliação de risco para novos sistemas de IA?
Não estão pedindo o processo completo. Estão pedindo evidência de que ele existe — fluxograma, política, documento de processo.
4. Há responsável nomeado pela governança de IA?
Nome e cargo. Pode ser o CISO, o DPO com mandato expandido, ou um AI Officer. O que importa é que alguém tem responsabilidade documentada.
5. Como vocês tratam incidentes relacionados a IA?
Existe processo de notificação? Registro? Canal de comunicação para o cliente em caso de incidente?
Essas cinco perguntas não são complexas de responder — se a estrutura existe. Se não existe, nenhuma delas tem resposta defensável.
Sua empresa tem esse controle hoje?
Faça o checklist em 5 minutos — gratuito.
Baixar checklist gratuitoO que acontece quando a resposta demora ou não existe
Três cenários. Nenhum é bom.
Cenário 1: O processo trava.
O jurídico do cliente não aprova o contrato até receber as respostas. O comercial da empresa fornecedora não tem o que entregar. O negócio fica em standstill por semanas — às vezes meses.
Um contrato de serviços gerenciados de 18 meses travou por 45 dias porque o fornecedor não tinha política de IA formalizada. O negócio fechou depois — com cláusula de penalidade por não entrega de documentação no prazo pós-contrato.
Cenário 2: O cliente renegocia condições.
Resposta vaga ou incompleta vira argumento de negociação. O cliente aceita o fornecedor, mas exige garantia contratual de que a documentação será entregue em 60 dias. Qualquer incidente durante esse período aciona cláusula de rescisão.
Cenário 3: O cliente troca de fornecedor.
Para contratos de maior valor ou em setores altamente regulados, ausência de governança de IA já é critério de desclassificação em alguns processos de procurement. Sem resposta = sem contrato.
O Cenário 3 ainda é minoria — mas cresceu de forma mensurável em 2024 e 2025.
Como se preparar antes do questionário chegar
A preparação não precisa ser completa para ser suficiente. Precisa ser real.
Política de uso aceitável de IA: 3 a 5 páginas. Define o que pode, o que não pode, quem autoriza exceções. Aprovada formalmente pela diretoria. Com data.
Esse único documento responde a pergunta 1 do questionário e sinaliza maturidade para as demais.
Inventário de sistemas de IA: planilha ou registro simples. Nome do sistema, finalidade, dados processados, responsável, status (em produção/em teste/descontinuado).
Não precisa ser sofisticado. Precisa ser real e atualizado.
Responsável nomeado: comunicação interna documentando quem tem responsabilidade sobre governança de IA. Pode ser parte do organograma existente. O que não pode é não existir.
Processo de avaliação de risco: fluxograma simples de como a empresa avalia uma nova ferramenta de IA antes de implantar. Aprovação de TI, revisão de privacidade, comunicação para o responsável. Documentado.
Canal de notificação de incidente: definição de como a empresa notifica o cliente em caso de incidente com sistema de IA que afeta dados do cliente. Pode ser o mesmo canal de incidente de segurança. Precisa estar documentado.
Esses cinco itens cobrem os cinco itens mais pedidos. Não é coincidência — é o escopo mínimo viável.
Prazo realista: 60 dias é pouco para montar do zero
Quem recebe o questionário hoje e não tem nada estruturado vai ter problema.
60 dias é o prazo que alguns clientes enterprise dão para o fornecedor entregar a documentação após o contrato assinado. É prazo apertado para montar do zero com credibilidade.
A política precisa de aprovação interna — jurídico, diretoria, RH. Isso leva tempo.
O inventário precisa de levantamento real — TI, área de negócio, fornecedores. Leva tempo.
O responsável nomeado precisa de comunicação formal. Leva menos tempo, mas ainda leva.
Empresa que começa do zero hoje leva 60 a 90 dias para ter documentação básica com credibilidade real. Em 90 dias bem executados, tem o suficiente para responder qualquer questionário padrão.
O problema não é o prazo. É quando a empresa começa.
Quem começa depois que o questionário chega está sempre atrás.
Quem começa agora vai receber o questionário com resposta pronta.
A diferença entre os dois não é de tecnologia. É de prioridade.
Comece pelo checklist — 15 perguntas que replicam o que clientes enterprise perguntam: risco.ia.br/checklist.
Se quiser os templates prontos para adaptar (política, inventário, roteiro para board): alc.ia.br/kit.
E se preferir sair com o diagnóstico completo e o plano de 30/60/90 mapeado: alc.ia.br/diagnostico.