Gap analysis ISO 42001 na prática: como diagnosticar lacunas do AIMS

Antes de qualquer projeto sério de ISO/IEC 42001, é preciso saber onde você está. O gap analysis (também chamado de diagnóstico de aderência ou readiness assessment) compara o estado atual da sua organização contra os requisitos da norma e do Anexo A, e produz um plano realista de implementação.

Este artigo descreve, na prática, como a VGrid conduz um gap analysis ISO 42001 em empresas brasileiras: escopo, método, entrevistas, evidências, scoring e entregáveis.

O que é (e o que não é) um gap analysis ISO 42001

Gap analysis não é auditoria de certificação, não emite parecer oficial e não substitui a auditoria interna obrigatória da Cláusula 9. É um diagnóstico de consultoria que mostra:

• Quais cláusulas (4 a 10) estão atendidas, parcialmente atendidas ou ausentes
• Quais dos 38 controles do Anexo A são aplicáveis ao seu contexto
• Quais evidências já existem e podem ser reaproveitadas (ex.: vindas de ISO 27001/27701)
• Onde estão as lacunas críticas que impedem certificação
• Esforço estimado, prazos e prioridades para implementação

Passo 1, definir escopo do diagnóstico

Tudo começa pela mesma decisão estratégica que define o escopo do AIMS: empresa toda, unidade de negócio, produto, ou família de sistemas de IA. Para um gap analysis, recomendamos delimitar:

• Quais sistemas de IA estão dentro do escopo (próprios, contratados, embarcados em SaaS)
• Quais áreas serão entrevistadas (TI, dados, jurídico, privacidade, segurança, negócio, RH)
• Quais sistemas de gestão já existentes serão considerados (ISO 27001, 27701, 9001)
• Qual o nível de profundidade: leve (2–3 semanas), padrão (4–6 semanas), profundo (6–10 semanas)

Passo 2, mapeamento documental

Antes das entrevistas, o consultor revisa toda a documentação relevante: políticas, procedimentos, inventários, contratos com fornecedores de IA, relatórios de DPIA/AIPD, atas de comitês, treinamentos, registros de incidentes, código de ética, RIPD. Isso evita perguntar em entrevista o que já está respondido em documento.

Passo 3, entrevistas estruturadas

Realizamos entrevistas de 60 a 90 minutos com cada área-chave. Cada entrevista cobre cláusulas específicas:

• Alta direção / sponsor: cláusulas 4, 5, 6 (contexto, liderança, planejamento)
• Times de IA / dados: cláusulas 6, 7, 8 (risco, recursos, ciclo de vida)
• Segurança da informação: cláusula 8 + controles do Anexo A relacionados a AI Security
• Privacidade / DPO: avaliações de impacto, base legal, dados sensíveis
• Jurídico / compliance: contratos, EU AI Act, Marco Legal, LGPD, due diligence
• RH / treinamento: competência, conscientização, política de uso aceitável de IA

Passo 4, scoring por cláusula e por controle

Cada requisito é classificado em uma escala de maturidade. Usamos um modelo simples e auditável:

• 0, Inexistente: nenhuma evidência, processo informal ou desconhecido
• 1, Inicial: existe alguma prática ad hoc, sem documentação formal
• 2, Definido: há política/procedimento documentado, mas execução inconsistente
• 3, Gerenciado: processo executado de forma consistente, com evidências regulares
• 4, Otimizado: medido, monitorado e melhorado continuamente, pronto para certificação

Passo 5, declaração de aplicabilidade preliminar (SoA)

Mesmo no diagnóstico, já produzimos uma SoA preliminar indicando, para cada um dos 38 controles do Anexo A, se ele é aplicável, parcialmente aplicável ou justificadamente excluído. Essa SoA preliminar acelera muito a fase de implementação e dá clareza ao patrocinador sobre o tamanho real do projeto.

Passo 6, roadmap priorizado por risco e esforço

O entregável central é o roadmap. Não basta listar lacunas: é preciso priorizá-las. Usamos uma matriz risco vs esforço para classificar cada gap em 4 quadrantes:

• Quick wins (alto risco, baixo esforço): atacar nos primeiros 30 dias
• Projetos estratégicos (alto risco, alto esforço): planejar em ondas trimestrais
• Manutenção (baixo risco, baixo esforço): incorporar na rotina
• Reavaliar (baixo risco, alto esforço): revisitar após próxima rodada

Entregáveis típicos de um gap analysis ISO 42001

• Relatório executivo (10–15 páginas) para C-Level e conselho
• Relatório técnico detalhado por cláusula e controle, com evidências revisadas
• Heatmap visual de aderência
• SoA preliminar (Statement of Applicability)
• Roadmap priorizado de 6 a 18 meses, com esforço estimado
• Estimativa de orçamento, recursos internos e contratações necessárias
• Apresentação executiva para patrocinador e steering committee

Quanto tempo dura

Um gap analysis padrão dura entre 4 e 6 semanas, dividido em: kickoff e preparação (1 semana), revisão documental (1 semana), entrevistas (1–2 semanas), análise e scoring (1 semana), elaboração de entregáveis e apresentação (1 semana). Empresas com mais de uma unidade de negócio ou múltiplos sistemas de IA podem demandar 6 a 10 semanas.

Erros frequentes em gap analysis ISO 42001

• Reduzir o diagnóstico a um checklist binário sem evidência objetiva
• Não considerar IA contratada (SaaS, fornecedores, modelos públicos)
• Ignorar Shadow AI ou pretender que ela não existe na empresa
• Pular entrevistas com áreas de negócio (o AIMS deixa de ter aderência)
• Confundir gap analysis com auditoria interna ou pré-auditoria de certificação
• Entregar relatório sem priorização: o cliente fica com 200 ações sem saber por onde começar

Como a VGrid conduz

O gap analysis ISO 42001 da VGrid é conduzido por ISO/IEC 42001 Lead Auditor, com método auditável e entregáveis acionáveis. Atuamos via Gap Analysis ISO 42001, ISO 42001 Readiness e, para auditoria interna formal de Cláusula 9, via Auditoria ISO 42001.

Solicite um diagnóstico inicial e receba uma proposta dimensionada para o seu escopo, com prazo e entregáveis claros.