Como Criar uma Governança em IA?

Cada vez as IAs estão mais competentes em gerar eficiências. Mas quando falamos de integrá-las em fluxos ou sistemas das empresas, ou ainda colocá-las para interagir com clientes e seus dados, entendo que o cuidado precisa ser diferente.

Agora, como uma empresa torna suas IAs seguras, confiáveis e transparentes?

A resposta parece ser criar uma estrutura de Governança em IA.

No artigo abaixo, combino os frameworks de criação dessa estrutura que achei mais interessantes, buscando um equilíbrio entre esforço, efetividade e rapidez. Afinal, a estrutura perfeita, que só começa a funcionar daqui a 3 anos, está (muito) atrasada.

Antes de começarmos, algumas premissas que formam a base deste artigo:

A Governança tem 3 papéis: (i) avaliar os riscos e necessidades da companhia, (ii) criar regras e/ou diretrizes - que permitem que as necessidades sejam alcançadas com o mínimo de riscos - e (iii) monitorar os dois itens anteriores;
As IAs irão evoluir cada vez mais rápido, estaremos sempre “atrasados” na governança;
Estruturas Enxutas > Grandes Estruturas. Ambientes em constante mudança, privilegiam rapidez e adaptabilidade, frente a estabilidade e segurança;

Montando o Programa Ideal

Um programa de governança de IA pode ser criado em 7 passos:

Definição de Princípios, Objetivos, Responsabilidades e Poderes;
Estruturação de Equipe Multidisciplinar;
Identificação dos Contextos de Uso de IA na Instituição;
Mapeamento de Riscos e Medidas de Mitigação;
Criação de Políticas/Diretrizes;
Criação de Canal de Comunicação e Prestação de Contas;
Monitoramento e Aprimoramento da Estrutura.

1. Definição de Princípios, Objetivos, Responsabilidades e Poderes;

Primeiro, definimos os Princípios que nortearam nossos esforços de governança. Quais são os ideais que queremos atingir com essa estrutura? Segurança? Precisão? Transparência? Eficiência? Equidade?

Não há uma única resposta certa, cada instituição deve definir o seu norte. Mas há respostas erradas. Se quero apenas ser mais rápido que meu concorrente, o princípio precisa ser eficiência, não transparência. Queremos definir porque estamos fazendo isso.

Neste item, quanto menos princípios melhor. Afinal, se existem vários nortes, começa a ficar difícil saber para onde ir.

Segundo, definimos os objetivos. Os objetivos são a maneira pela qual atingiremos nossos princípios. Devemos nos perguntar quais resultados práticos a governança deve atingir?

À medida que entendermos com mais profundidade o que a empresa e as IAs realmente precisam, os objetivos mudarão. Mas precisamos começar de algum lugar.

Terceiro, definimos responsabilidades compatíveis com os objetivos. Se o objetivo é garantir 95% de precisão nas respostas das IAs disponibilizadas ao público, a estrutura precisa testá-las antes da publicação.

Algumas outras perguntas interessantes:

A estrutura cria orientações (”sugestões”) ou regras (”obrigações”)?
Analisa casos concretos e propõe medidas de mitigação, cria diretrizes gerais ou ambos?
Quais níveis de risco ela deve analisar? Apenas altos? Todos?…
Quais tipos de soluções ela deve avaliar (internas, externas, generativas, preditivas, …)?

É importante retornar a essas perguntas assim que a equipe estiver montada. Isso vai garantir que as respostas façam sentido com a estrutura criada.

Por fim, definir poderes compatíveis com as responsabilidades e objetivos. Reexaminando o objetivo de 95% de precisão. Se a estrutura tem apenas poder orientativo, os poderes são incompatíveis com os objetivos. Isto porque o time responsável pela solução pode não seguir as orientações e liberar uma solução inadequada.

Há 3 principais maneiras de classificar o poder dos pareceres e decisões que o time de governança emitir:

Vinculantes ("não é não");
Semi vinculantes (líder da área ou diretoria podem assumir o risco e seguir); ou,
Orientativos (não vinculantes).

As classificações não são mutuamente exclusivas. A equipe pode ter poder vinculante para soluções externas e orientativo para internas, por exemplo.

Tenho preferência por uma estrutura semi vinculante, em que a diretoria da área precise assumir os riscos de não seguir o parecer do time. Assim, não se trava o negócio e se cria uma cultura de accountability.

2. Estruturação de Equipe Multidisciplinar;

Idealmente, começa-se com um número ímpar, para facilitar a tomada de decisões. Sendo 3 pessoas essenciais: uma pessoa técnica (focada em segurança), uma pessoa do jurídico/compliance (focada em adequação normativa) e uma pessoa de produto/negócio (que trará as necessidades da empresa para dentro do time).

Toda equipe precisa de um líder, alguém responsável por organizar as atividades e tomar decisões finais. Sugiro optar pela pessoa técnica ou jurídica/compliance, em razão do conflito de interesse que a pessoa de produto/negócio vive.

3. Identificação dos Contextos de Uso de IA na Instituição;

Identificar as principais áreas, cenários de uso e tipos de IA que planejamos utilizar.

4. Mapeamento de Riscos e Medidas de Mitigação;

Quais riscos precisamos levar em consideração? Um mapeamento prévio reduz as chances de esquecermos algo quando a "rotina" começar.

Alguns riscos para levar em consideração:

Riscos Técnicos: falhas nos algoritmos ou de segurança, problemas de qualidade ou precisão, dificuldade de auditoria e vieses;
Riscos Operacionais: problemas de integração, custos para escalar, dependência excessiva, falta de capacitação e resistências internas; e
Riscos Legais: treinamos e utilizamos nossas IAs e soluções conforme a legislação aplicável?

Acredito que a melhor maneira de analisar riscos é através da matriz Probabilidade X Impacto.

As medidas de mitigação óbvias são: auditorias, treinamentos, monitoramento contínuo, criação de políticas e diretrizes e cumprimento de boas práticas. Pelo rápido avanço que as IAs têm, é importante que o Time esteja sempre atento às novidades.

5. Criação de Políticas/Diretrizes;

Deve-se definir (i) as regras/orientações sobre como criar, utilizar, aprimorar e monitorar as IAs; (ii) os treinamentos obrigatórios para colaboradores; e, (iii) as regras procedimentais ao time de governança, por exemplo, como ele é acionado.

Algumas políticas que são interessantes de considerarmos:

Submissão de IAs para avaliação
- Será obrigatória ou mediante provocação? Para quais IAs?
- Como será o fluxo de avaliação? Vamos chamar outros times da companhia para avaliar ou será tudo feito pelo time de governança?
- Qual será o resultado? Um parecer, uma lista de medidas de mitigação?
Política de Riscos
- Há riscos que não estamos dispostos a tolerar? Quais?
- Quem aprova a assunção de riscos? Há diferença entre o nível de risco e aprovador?
- Haverá modificações nas análises dependendo das soluções?
- Serão feitas análises conforme o risco?
Auditoria em IA
- Qual a periodicidade?
- O que será avaliado?
- Quem deve avaliar?
- Quais são os KPIs (indicadores de desempenho chaves)?
- Como será o relatório de apontamentos?
- Como será acompanhada a correção dos gaps?
Política de Documentação
- Quais os requisitos mínimos na documentação da IA? Por exemplo, mapeamento da origem dos dados.
Nível de Envolvimento Humano
- Quando será necessária ou não supervisão humana sobre decisões tomadas pela IA? E como será feita essa supervisão? Exemplos:
  - Estrutura 100% automática: IA concede/nega crédito sem intervenção humana;
  - Estrutura com Decisão Final Humana: IA entrega um relatório, para que o humano decida;
  - Estrutura Híbrida: Até "X" mil reais a IA decide, acima, o caso é repassado para humanos.
- É interessante que se estabeleça as regras de acordo com o processo, num cenário um pouco mais caso a caso.
Transparência
- Quais medidas de transparência serão adotadas interna e externamente?

Há incontáveis políticas possíveis de serem criadas, todavia são estas que achei as mais interessantes.

6. Criação de Canal de Comunicação e Prestação de Contas;

Local em que podem ser recebidas denúncias, dúvidas e solicitações. Bem como publicizar o papel do Time e suas ações, as políticas e diretrizes.

7. Monitoramento e Aprimoramento da Estrutura.

Não se perder nas tarefas diárias é sempre um desafio. Mas a robustez e eficácia de uma estrutura são construídas por "um tijolo de cada vez". E como estamos iniciando com uma estrutura enxuta, é essencial adotarmos processos de monitoramento e aprimoramento.

O monitoramento pode ser um ciclo mensal ou quinzenal em que levantamos as dificuldades enfretadas no ciclo e criamos planos de ação para endereça-las. Pode parecer algo oneroso se somado às tarefas diárias, mas - por experiência própria - posso te garantir que no curto prazo (3 - 6 meses) os aprimoramentos se pagam.

Como dica final para acelerar a elaboração do programa, considere as estruturas que a empresa já possui, para identificar o que pode ser aproveitado. Por exemplo, se existe uma estrutura de governança ou gerenciamento de riscos, talvez seja o caso de inserir essa área lá. Se temos profissionais que podem assumir a nova função, não perdemos tempo buscando no mercado, …

Essa sugestão de framework foi baseada nos seguintes materiais: [1] [2] [3] [4]

Espero que meu artigo possa ajudar nas suas iniciativas. E, por favor, se você tiver implementado uma estrutura de governança em IA na sua empresa, entre em contato. Vou adorar ouvir sua história. Meu email é: contato@gabrielmaciel.com.br.

Como Criar uma Governança em IA?

Montando o Programa Ideal

1. Definição de Princípios, Objetivos, Responsabilidades e Poderes;

2. Estruturação de Equipe Multidisciplinar;

3. Identificação dos Contextos de Uso de IA na Instituição;

4. Mapeamento de Riscos e Medidas de Mitigação;

5. Criação de Políticas/Diretrizes;

6. Criação de Canal de Comunicação e Prestação de Contas;

7. Monitoramento e Aprimoramento da Estrutura.

Gabriel Maciel

Artigos relacionados

Um Agente de IA que Trabalha 24 Horas por Dia — Como Coloquei o Claude em um Servidor

Ditado por IA: Como Eu Escrevo Falando em Vez de Digitando

Speedy-Post: Como Eu Automatizei a Edição dos Meus Vídeos com IA