"Temos um processo para isso."
É a frase que mais escuto antes de uma auditoria.
E é a frase que mais falha durante uma auditoria.
Processo sem evidência é intenção.
Intenção não é auditável.
O auditor não pergunta o que você faz.
Ele pergunta o que você consegue provar que fez.
São perguntas diferentes. Com respostas diferentes.
A diferença entre controle e evidência de controle
Controle é o que você implementou para reduzir risco.
Evidência de controle é o registro que demonstra que o controle operou no momento certo.
Um médico pode dizer que sempre lava as mãos antes de uma cirurgia.
A evidência é o registro de check-in no protocolo cirúrgico, com horário e assinatura.
Sem o registro, a declaração não tem valor em uma auditoria hospitalar.
Com IA, a lógica é a mesma.
Você pode dizer que revisa os outputs do modelo antes de tomar decisões.
A evidência é o log da revisão: quem revisou, quando, o que foi aprovado ou rejeitado, com qual critério.
Você pode dizer que tem política de uso ético de IA.
A evidência é o documento com versão, data de aprovação, lista de pessoas que assinaram o aceite, e registro de revisão periódica.
A diferença é objetiva.
Uma existe na cabeça das pessoas.
A outra existe em um sistema que pode ser consultado em 30 segundos durante a auditoria.
O que o auditor aceita — e o que ele rejeita
Auditores de ISO 27001, SOC 2, e agora ISO 42001 seguem o mesmo princípio: show me the evidence.
O auditor rejeita:
- "Fazemos isso sempre" sem registro.
- E-mail avulso como única evidência de um processo recorrente.
- Print de tela sem data, sem autor, sem contexto.
- Documento criado na véspera da auditoria com datas retroativas.
- Política desatualizada que ninguém seguiu na prática.
O auditor aceita:
- Log de sistema com timestamp, usuário, ação e resultado.
- Documento com histórico de versão, aprovador identificado e data.
- Ticket em sistema de gestão mostrando fluxo completo de uma decisão.
- Registro de treinamento com lista de participantes e data de conclusão.
- Relatório gerado automaticamente com periodicidade demonstrável.
A distinção prática é simples.
Se a evidência pode ser forjada em 5 minutos sem deixar rastro, o auditor não confia.
Se a evidência está em um sistema com controle de acesso e histórico imutável, ele confia.
Qual é o nível de exposição da sua empresa?
Score de risco em 8 perguntas — resultado imediato.
Fazer o score de riscoOs 4 elementos de uma evidência válida
Para que uma evidência seja aceita em auditoria de controles de IA, ela precisa de quatro elementos:
1. Identificação
Quem fez ou quem aprovou. Nome, cargo, ou identificador de sistema.
"O sistema processou" sem identificar qual sistema e qual versão não é evidência.
2. Temporalidade
Quando aconteceu. Timestamp confiável — não data digitada manualmente em uma planilha.
Sistemas com log automático têm timestamps que o auditor aceita.
Planilhas preenchidas à mão têm timestamps que o auditor questiona.
3. Conteúdo
O que foi feito. A ação específica, o input, o output, a decisão.
"Revisão realizada" sem detalhe do que foi revisado não é evidência. É anotação.
4. Integridadade
O registro não pode ter sido alterado após o fato.
Logs de sistema com controle de integridade atendem.
Documentos Word na pasta pessoal de alguém não atendem.
Esses quatro elementos são o mínimo. Não são opcionais.
Uma evidência que falta qualquer um deles vai ser questionada.
Por que processos manuais falham na auditoria
O problema com processos manuais não é a intenção.
É a consistência.
Um processo manual depende de uma pessoa lembrar de fazer, de ter tempo para fazer e de fazer do jeito certo todas as vezes.
Isso funciona em períodos de normalidade.
Falha em férias, em crises, em alta demanda, em virada de equipe.
E auditores sabem disso.
Quando um auditor encontra uma evidência manual, a primeira pergunta é: existe registro de quando isso não foi feito?
Se não há registro de falha, não é que o processo é perfeito — é que o processo não tem controle de conformidade.
Um processo manual sem exceção documentada é um processo que não detecta quando falha.
Para o auditor, isso é pior do que um processo com falhas documentadas e corrigidas.
Falha documentada demonstra que o sistema funciona.
Ausência de falha sem evidência demonstra que o sistema não monitora.
Como automatizar a geração de evidência
A solução não é contratar mais pessoas para preencher mais planilhas.
É fazer o sistema gerar a evidência como subproduto do próprio processo.
Para decisões automatizadas de IA:
O sistema deve registrar automaticamente: modelo utilizado, versão, input recebido, output gerado, score de confiança, decisão final, e operador humano que validou (se houver).
Esse log não deve ser editável após geração.
Para revisões periódicas:
Use ferramentas com workflow integrado — tickets, aprovações em sistema, notificações automáticas.
Quando a revisão acontece no sistema, o sistema registra. Sem esforço adicional.
Para treinamentos de equipe:
Plataformas com módulos de IA geram certificado automático com data de conclusão.
Isso substitui a lista de presença em papel que ninguém consegue encontrar depois.
Para incidentes:
Defina um processo de registro de incidentes em um sistema com controle de acesso.
Cada incidente deve ter: data de abertura, descrição, severidade, responsável, ações tomadas, data de fechamento.
Isso não é só evidência de controle. É o que demonstra maturidade para o auditor.
A automação de evidência reduz esforço operacional e aumenta confiabilidade.
O time não precisa lembrar de documentar.
O sistema documenta enquanto o time trabalha.
Descubra quais controles da sua governança de IA têm evidência auditável — e quais só existem no papel.
O score de risco mede isso em 8 dimensões: alc.ia.br/score-risco
Quem precisa fechar os gaps com plano estruturado: alc.ia.br/diagnostico.