Framework de Gestão de Riscos de IA do NIST

Definição

O Framework de Gestão de Riscos de IA do NIST é um framework voluntário que ajuda as organizações a governar, mapear, medir e gerir os riscos dos sistemas de IA enquanto perseguem as características da IA confiável.

Escopo

Qualquer organização que projete, desenvolva, implante ou use IA, em qualquer setor. É voluntário e orientado a resultados, pensado para se adaptar ao contexto e ser usado junto a normas e regulação.

Requisitos-chave

• Quatro funções centrais: Governar (cultura e prestação de contas), Mapear (contexto e riscos), Medir (avaliar e acompanhar), Gerir (priorizar e responder).
• Governar é transversal: sustenta as outras três.
• Define características de IA confiável a perseguir, não só riscos a evitar.
• Um Perfil de IA Generativa (NIST AI 600-1) aborda os riscos específicos da GenAI.
• Voluntário e flexível: pensado para se adaptar, não para se certificar.
• Combina bem com a ISO/IEC 42001 (sistema de gestão) e o EU AI Act (lei).

Controles

Governar

Estabeleça as políticas, a prestação de contas, a cultura e os papéis que tornam a gestão de riscos real: a base sobre a qual as demais funções se apoiam.

Mapear

Estabeleça o contexto: uso pretendido, partes interessadas, e os riscos e impactos do sistema de IA antes de construir.

Medir

Use métodos quantitativos e qualitativos para avaliar, comparar e monitorar o risco e a confiabilidade: você não gere o que não mede.

Gerir

Priorize, responda e acompanhe os riscos ao longo do tempo, incluindo resposta a incidentes e descomissionamento.

Características de confiabilidade

Direcione para resultados válidos, seguros, responsáveis, explicáveis, com privacidade reforçada e justos como metas de design explícitas.

Lista de verificação

• 01Coloque em marcha a função Governar: política, prestação de contas e papéis.
• 02Mapeie o contexto, o uso pretendido, as partes interessadas e os riscos de cada sistema.
• 03Defina métricas e Meça validade, segurança, viés e robustez.
• 04Gerencie: priorize riscos, planeje respostas e acompanhe ao longo do tempo.
• 05Aplique o Perfil de IA Generativa para os sistemas de GenAI.
• 06Estabeleça resposta a incidentes e monitoramento para os sistemas implantados.
• 07Mapeie o framework para suas obrigações sob a ISO 42001 e o EU AI Act.

Erros comuns

• Fazer Mapear e Medir mas negligenciar Governar, de modo que nada é responsável.
• Medir o fácil em vez do que importa para a confiabilidade.
• Tratá-lo como uma lista de verificação em vez de uma prática contínua de risco.
• Ignorar o Perfil de IA Generativa para sistemas LLM e agênticos.

Exemplos

• Uma equipe que usa Mapear para documentar o uso pretendido e as partes interessadas de um agente antes de construir.
• Um passo de Medir que compara um modelo em viés e robustez frente a um conjunto de avaliação.
• Um processo de Gerir com resposta a incidentes para um assistente de GenAI implantado.

FAQs

O NIST AI RMF é obrigatório?

Não. É um framework voluntário. Mas é amplamente adotado como linguagem comum e espinha dorsal para a gestão operacional do risco de IA, e frequentemente referenciado em políticas e compras.

Quais são as quatro funções?

Governar, Mapear, Medir e Gerir. Governar é transversal e sustenta as outras três, que percorrem o ciclo de vida da IA.

Como aborda a IA generativa?

Por meio do Perfil de IA Generativa complementar (NIST AI 600-1), que identifica riscos específicos da GenAI e ações sugeridas mapeadas para as quatro funções.

Referências

• NIST — AI Risk Management Framework (AI RMF 1.0)
• NIST AI 600-1 — Generative AI Profile

Governança relacionada