Severidade Alto Financeiro - Saude - Industria

Ausencia de Audit Log em Decisoes de IA

Categoria: Rastreabilidade · Por Anderson Chipak · ALC Consultoria

Regulacoes afetadas

LGPD art. 20 - PL 2338 - BACEN CMN 4.557 - SOX

O risco

Nenhum registro imutavel das decisoes tomadas pela IA existe no sistema. Quando um cliente contesta uma decisao, quando um regulador exige evidencias ou quando ocorre um incidente, a empresa nao consegue apresentar o que foi decidido, com quais dados, por qual versao do modelo e em qual momento.

Impacto regulatorio e empresarial

Este e o risco de maior frequencia em auditorias conduzidas pela ALC. Sem audit log: o art. 20 da LGPD nao pode ser atendido; o BACEN nao pode auditar modelos de credito sem evidencia das decisoes; em litigio, a empresa nao tem prova de que a decisao foi tomada com os criterios corretos; o PL 2338 exigira logs imutaveis para sistemas de alto risco.

Como identificar na sua empresa

Sinais tipicos: suporte ao cliente nao consegue explicar por que um credito foi negado; equipe juridica pede evidencia de uma decisao de 6 meses atras e nao encontra; auditores externos solicitam log e recebem planilha Excel editavel.

Como mitigar

1. Implementar armazenamento imutavel de decisoes (append-only log com hash encadeado). 2. Registrar: timestamp, ID do usuario afetado, versao do modelo, inputs recebidos, output gerado, threshold usado. 3. Definir politica de retencao minima (5 anos financeiro, 20 anos saude). 4. Testar o processo de recuperacao de uma decisao especifica.

Este risco existe na sua empresa?

A auditoria da ALC identifica quais dos 50 riscos existem nos seus sistemas e prioriza os de maior impacto. Parecer tecnico em 5 dias uteis.

alc.srv.br — Auditoria → Baixar PDF dos 50 riscos →

Riscos relacionados

Logs mutaveis → Decisao automatizada sem revisao → IA sem monitoramento →

Ver catalogo completo → Baixar PDF 50 riscos →

Servicos ALC

Auditoria → Governanca → ALC Control Server →