Como montar um inventário de IA: o ponto de partida que ninguém faz

Sem inventário de IA, não há controle, não há conformidade e não há defesa quando algo der errado. Veja como mapear o que sua empresa realmente usa.

Toda auditoria de IA começa com a mesma pergunta: "Quais sistemas de IA a empresa usa?"

A resposta costuma ser: "Deixa eu verificar com o time de TI."

Esse momento revela tudo.

Quando ninguém sabe o que tem, ninguém controla o que acontece. E quando o risco se materializa — uma decisão automatizada errada, um vazamento de dados, uma multa regulatória — a ausência de inventário é a primeira coisa que aparece no relatório de auditoria.

Mapa de sistemas de IA documentados vs. não documentados na empresa

Por que sem inventário não existe controle

Controle pressupõe visibilidade. Simples assim.

Você não consegue avaliar risco daquilo que não mapeou. Não consegue atribuir responsabilidade para um sistema que não está registrado. Não consegue demonstrar conformidade com a ISO 42001, o EU AI Act ou qualquer regulação futura sem um registro dos sistemas em operação.

O inventário não é burocracia. É o ponto zero de qualquer governança real.

Sem ele, o que existe é a ilusão de controle — processos aprovados para sistemas que ninguém sabe que existem, políticas aplicadas a uma fração do que está rodando.

O ChatGPT que o time de marketing usa todo dia? Não está no radar de TI.

O modelo de scoring de crédito que o fornecedor embutiu na API? Também não.

O plug-in de IA do CRM que o vendedor ativou sozinho? Idem.

Esses são os sistemas que vão aparecer no incidente.

O que contar — não só as ferramentas aprovadas

A maioria das empresas, quando tenta fazer um inventário, lista o que TI aprovou.

Isso é metade do problema. A outra metade é o que está sendo usado sem aprovação formal.

O inventário precisa capturar três camadas:

Sistemas corporativos com IA embutida. ERP, CRM, plataformas de RH, ferramentas de analytics — praticamente todos têm algum componente de IA hoje. Precisa estar mapeado.

Ferramentas de IA adotadas pelos times. ChatGPT, Copilot, Gemini, Perplexity, ferramentas de geração de imagem, transcrição de reunião, resumo de contrato. Os times adotam sem passar por TI — e isso é a realidade, não exceção.

IA de terceiros dentro de fornecedores críticos. Seu fornecedor de AML usa modelo preditivo? Seu parceiro de logística usa roteirização por IA? Esses riscos são seus também. A ISO 42001 é explícita nisso.

Sua empresa tem esse controle hoje?

Faça o checklist em 5 minutos — gratuito.

Baixar checklist gratuito

Template de inventário de IA com as 5 colunas essenciais de controle

As 5 colunas que todo inventário precisa ter

Inventário sem estrutura mínima vira lista inútil. Cinco colunas são o essencial:

1. Nome e versão do sistema. Identificação clara. Versão importa porque o risco muda entre versões.

2. Finalidade e decisões que suporta. O que esse sistema faz? Que decisão ele influencia ou toma? Uma ferramenta de transcrição é diferente de um modelo que decide aprovação de crédito.

3. Dados que processa. Dados pessoais, dados financeiros, dados sensíveis? Isso determina o nível de risco e os requisitos de proteção.

4. Responsável (AI Owner). Quem responde por esse sistema? Nome, cargo, área. Se não tem nome, não tem responsabilidade.

5. Status de avaliação de risco. Foi avaliado? Quando? Qual foi o resultado? Pendente, aprovado, condicionado, suspenso.

Esses cinco campos sozinhos já são mais do que a maioria das empresas tem hoje.

Como conduzir o levantamento na prática

Começar perguntando para TI é o menor dos passos.

O levantamento real exige entrevistas estruturadas com as áreas de negócio — Financeiro, RH, Jurídico, Comercial, Operações. Cada gestor precisa responder: "Quais ferramentas de IA o seu time usa hoje, com ou sem aprovação formal?"

Além das entrevistas, revisão de contratos com fornecedores. Quantos contratos de software têm cláusula de IA embutida que ninguém leu? Mais do que o jurídico imagina.

Revisão de licenças de software ativas. Muitos plug-ins de IA vêm habilitados por padrão em suítes como Microsoft 365 ou Google Workspace.

Por fim, revisão de despesas de cartão corporativo. Assinaturas de IA pagas individualmente pelos times raramente aparecem no inventário de TI.

Esse levantamento não é feito em uma reunião. Leva de duas a quatro semanas, dependendo do tamanho da operação.

O que o auditor vai pedir quando chegar

Auditores de ISO 42001 ou de regulações setoriais vão pedir o inventário como primeiro documento.

E não vão aceitar uma lista de ferramentas aprovadas. Vão querer saber:

Data da última atualização
Evidência do processo de levantamento — atas, e-mails, entrevistas
Critério usado para classificação de risco
Nome do responsável por cada sistema
Registros de avaliação de risco

Um inventário sem processo documentado não vale nada na auditoria. O auditor não precisa acreditar que está atualizado — precisa ver evidência de como ele é mantido.

A pergunta que vai aparecer: "Qual é o processo para incluir um novo sistema no inventário?"

Se a resposta for "a gente atualiza quando alguém lembra", o inventário tem valor zero do ponto de vista de governança.

Inventário é o documento mais básico da governança de IA. Também é o que mais falta.

Se a sua empresa não tem, esse é o primeiro trabalho a fazer — antes de política, antes de treinamento, antes de qualquer outro instrumento.

O inventário é o ponto de partida. Mas saber que você tem 12 sistemas listados não diz nada sobre sua exposição real.

O próximo passo é medir o risco: alc.ia.br/score-risco — 8 perguntas, 3 minutos, resultado imediato. Você descobre em que nível de exposição sua empresa está hoje.

Quando tiver o score, o diagnóstico completo resolve o que o score aponta: alc.ia.br/diagnostico.

Começa aqui: risco.ia.br/checklist