A maioria das empresas chega com a mesma pergunta: "Por onde a gente começa?"
Não falta intenção. Falta ponto de partida.
O diagnóstico de governança de IA existe para isso. Não é consultoria de longo prazo. Não é venda de metodologia. É um processo curto, com entrega concreta, que elimina a paralisia de "não sei o que não sei".
O que é um diagnóstico de governança de IA (e o que não é)
É uma avaliação do estado atual da governança de IA na sua organização.
O diagnóstico mapeia onde estão os sistemas de IA — contratados ou desenvolvidos internamente —, classifica o risco de cada um e identifica as lacunas entre o que existe e o que frameworks como ISO 42001, LGPD e o contexto regulatório setorial exigem.
Entrega um inventário, uma matriz de risco e um roteiro de ação priorizado.
O que não é:
Não é uma auditoria de certificação. Não emite certificado, não substitui auditoria formal, não garante conformidade com nenhuma norma.
Não é um projeto de implementação. O diagnóstico diz onde você está e o que precisa fazer. A implementação é o passo seguinte — separado, com escopo próprio.
Não é um relatório de conformidade jurídica. Envolve análise de risco regulatório, mas não substitui parecer do seu jurídico ou DPO.
Essa distinção importa porque muitas empresas chegam esperando um documento que resolve tudo. O diagnóstico resolve o ponto zero: clareza sobre o problema real.
Como funciona o processo — call, análise, entrega
O processo tem três etapas.
Etapa 1 — Call de levantamento (90 minutos)
Uma conversa estruturada com os responsáveis relevantes: pode ser o CIO, o DPO, o responsável por inovação, o gestor de TI — dependendo do porte e estrutura da empresa.
O objetivo não é impressionar com um questionário de 200 perguntas. É entender o suficiente para saber o que pesquisar depois.
Cobrimos: quais sistemas de IA existem ou são suspeitos, quais áreas estão mais expostas, o que já existe em termos de política, controles ou documentação, e qual o contexto regulatório específico da empresa — setor, clientes, jurisdições.
Etapa 2 — Análise e estruturação
Com base no levantamento, construímos o inventário e aplicamos a matriz de classificação de risco.
Cada sistema identificado recebe uma classificação: baixo, médio, alto ou crítico. A classificação considera impacto sobre pessoas, sensibilidade dos dados processados, grau de autonomia da decisão e escala de operação.
Fazemos também a análise de gap: o que a ISO 42001, a LGPD e o contexto regulatório setorial exigem versus o que a empresa tem hoje. Por item.
Etapa 3 — Entrega e apresentação
Entregamos três documentos:
O inventário de sistemas de IA — lista estruturada com nome, área responsável, dados processados, classificação de risco e status de controles existentes.
A matriz de risco — visão consolidada dos sistemas por nível de criticidade, com os principais gaps identificados para cada um.
O plano 30/60/90 — roteiro de ação priorizado com o que precisa ser feito em cada horizonte de tempo, por quem e com qual objetivo.
A entrega é acompanhada de uma call de apresentação — não para explicar o óbvio, mas para alinhar prioridades e responder dúvidas específicas.
Pronto para estruturar a governança de IA?
Diagnóstico completo: inventário, matriz de risco, plano 30/60/90 dias.
Agendar diagnósticoO que você recebe: inventário, matriz de risco, plano 30/60/90
Três documentos. Não um relatório de 80 páginas que vai para o fundo do Google Drive.
Inventário de sistemas de IA: sabe exatamente o que está rodando. Quem é o responsável. Que dado processa. Qual o nível de risco. Esse documento sozinho já fecha uma das maiores lacunas de governança — a falta de visibilidade.
Matriz de risco: sabe onde concentrar esforço. Não existe empresa com recursos infinitos para governança. A matriz diz: esses dois sistemas são críticos e precisam de ação imediata. Esses três são médios e entram no planejamento de 60 dias. Os demais podem esperar.
Plano 30/60/90: sabe o que fazer segunda-feira. Não um conjunto de recomendações abstratas. Uma lista de ações com responsável, prazo e objetivo claro.
Esses três entregáveis servem para qualquer caminho que a empresa decida tomar: implementar ISO 42001, criar política interna de IA, responder a uma due diligence de cliente, preparar resposta para auditoria regulatória.
Para quem faz sentido contratar
O diagnóstico não faz sentido para todos.
Faz sentido se:
Você sabe que usa IA — ou suspeita que usa mais do que sabe — e não tem nenhum inventário formal. Qualquer auditoria, due diligence de cliente ou questionamento regulatório vai expor isso.
Você está iniciando um processo de ISO 42001 e precisa do ponto de partida. Não dá para implementar uma norma de gestão sem saber o que gerenciar.
Você recebeu uma solicitação de cliente, segurador ou regulador sobre governança de IA e precisa de resposta estruturada em prazo curto.
Você é CIO, CTO ou COO de uma empresa que está expandindo o uso de IA — por projeto interno ou por adoção de SaaS — e sabe que não tem visibilidade suficiente sobre o que está acontecendo.
Não faz sentido se você já tem inventário atualizado, política formal de IA em operação e processo de avaliação de novos sistemas funcionando. Nesse caso, o diagnóstico vai confirmar o que você já sabe.
O que acontece depois do diagnóstico
Depende do que o diagnóstico revelar.
Para a maioria das empresas, o passo seguinte é a implementação dos controles mínimos nos sistemas classificados como críticos. Isso leva de 30 a 60 dias e pode ser feito com suporte ou internamente.
Para empresas que querem a ISO 42001, o diagnóstico é o input para a fase de design do sistema de gestão. Você não começa mais do zero — começa com inventário real, gaps identificados e prioridades definidas.
Para empresas com prazo regulatório ou de cliente, o diagnóstico entrega a documentação de diligência que demonstra que a organização está agindo de forma responsável — mesmo que a implementação completa ainda não esteja concluída.
O diagnóstico não resolve tudo. Resolve o mais difícil: sair do ponto zero com clareza.
A empresa que faz o diagnóstico hoje está, em 30 dias, com visibilidade sobre os próprios riscos. Sem ele, continua gerindo o que não conhece.
Agende o diagnóstico de governança de IA: alc.ia.br/diagnostico