Desde 2016, a Microsoft alocou centenas de engenheiros, advogados e especialistas em políticas para estabelecer uma base para suas práticas de IA responsável.
A partir disso, as equipes da EY avaliaram e testaram minuciosamente os recursos de IA do Microsoft 365 Copilot em relação aos requisitos da ISO 42001, o que resultou na obtenção da certificação ISO 42001 para o Microsoft 365 Copilot em março de 2025. Esse exercício permitiu que a EY validasse sistematicamente como os princípios de IA responsável da Microsoft foram incorporados ao design e às operações de rotina do Microsoft 365 Copilot, demonstrando não apenas conformidade, mas resiliência e prontidão em escala.
A avaliação da EY revelou temas-chave que demonstraram a preparação da Microsoft para a certificação ISO 42001, oferecendo insights acionáveis sobre como avançar em suas próprias jornadas de IA responsável:
Para dar vida à política de IA responsável, seus princípios devem ser traduzidos em orientações claras e acionáveis que as equipes de engenharia possam aplicar na prática. Na Microsoft, essa tradução ocorreu por meio de um processo estruturado de avaliação de impacto para os recursos de IA que dão suporte ao Microsoft 365 Copilot. Seguindo a Norma de IA Responsável da Microsoft, essas avaliações possibilitaram que as equipes a previssem os possíveis riscos para os stakeholders e definissem as mitigações apropriadas. O processo é baseado em questões alinhadas a políticas e tem o suporte de ferramentas práticas, como kits de desenvolvimento de software para feedback do usuário, filtros de segurança para bloquear conteúdo nocivo e interfaces de programa de aplicativo de IA seguras para modelos de linguagem de grande escala (LLMs) aprovados que ajudam as equipes a atender aos requisitos de IA responsável. As equipes da EY examinaram como essas avaliações foram usadas para incorporar a política no desenvolvimento de produtos, permitindo entender como a Microsoft operacionaliza a IA responsável de forma mensurável, repetível e escalável.
Avaliação dos danos no contexto dos recursos de IA
Entender como os sistemas de IA se comportam sob pressão é essencial para criar soluções resilientes e confiáveis. No caso do Microsoft 365 Copilot, isso envolveu a avaliação de possíveis danos, como a geração de conteúdo infundado ou prejudicial ou a vulnerabilidade a tentativas de jailbreak, no contexto do uso pretendido de cada recurso. A Microsoft realizou avaliações de danos simulados para prever como esses riscos poderiam surgir e para projetar defesas em camadas que os mitigassem. As equipes da EY validaram que a avaliação de danos foi incorporada ao ciclo de vida do desenvolvimento, garantindo que os recursos de IA fossem testados proativamente contra riscos adversos antes do lançamento para proteger os usuários de ameaças do mundo real quando da entrada em operação.
Implementação de sistemas de segurança para realizar o monitoramento da IA responsável em escala
Ocasionalmente, os LLMs podem gerar conteúdo que representa riscos para usuários ou organizações. Para resolver isso de forma proativa, o Microsoft 365 Copilot incorporou várias camadas de sistemas de segurança de IA. Isso inclui classificadores que detectam prompts ou resultados potencialmente prejudiciais e acionam medidas mitigadoras, como a supressão de respostas inseguras ou o redirecionamento do usuário. A Microsoft também usa metaprompting para moldar o comportamento do sistema de acordo com os princípios de IA responsável, como evitar especulações ou inferências emocionais ao resumir reuniões. As equipes da EY avaliaram como os sistemas de segurança de IA foram incorporados à arquitetura do produto, verificando se o design do Microsoft 365 Copilot incluía proteções em camadas, como classificadores e metaprompting, confirmando que a abordagem da Microsoft à IA responsável é intencional e tecnicamente robusta.
Monitoramento contínuo dos recursos de IA na produção
A IA responsável não termina na implantação. Ela exige uma supervisão contínua. O Microsoft 365 Copilot é monitorado ativamente na produção para validar seu desempenho confiável e seguro, alinhado com as expectativas da política. As equipes de engenharia acompanham uma série de métricas, inclusive taxas de sucesso, tempo de atividade, precisão e indicadores de uso indevido, como tentativas de jailbreak. Essas métricas alimentam os sistemas de alerta inteligentes que detectam anomalias em tempo real, permitindo uma resposta rápida das equipes de plantão. As equipes da EY examinaram os pipelines de telemetria e os mecanismos de alerta para garantir que o monitoramento contínuo não só estivesse em vigor, mas também fosse acionável, permitindo responder a desvios no comportamento da IA.
Manter os humanos no centro da equação da IA responsável
Mesmo os sistemas de IA mais avançados exigem julgamento humano para guiar seu desenvolvimento de forma responsável. Na Microsoft, essa função cabe aos líderes de IA responsável que fazem parte das equipes de produtos e supervisionam a gestão de risco a longo do ciclo de vida da IA. Essas pessoas colaboram com engenheiros para avaliar como os recursos serão usados, prever riscos potenciais e aplicar as lições aprendidas em implantações anteriores. Eles também servem como uma ponte para o Departamento de IA Responsável da Microsoft, garantindo uma governança consistente entre as equipes. As equipes da EY confirmaram que os líderes de IA responsável foram estrategicamente incorporados às equipes de produtos, de forma que pudessem orientar o desenvolvimento com consciência dos riscos e manter a governança ao longo do ciclo de vida da IA. Uma pesquisa realizada pela Ernst & Young LLP em colaboração com a Saïd Business School da Universidade de Oxford mostra que colocar os humanos no centro das grandes transformações aumenta a probabilidade de sucesso em 2,6 vezes em comparação com as transformações que não priorizam uma abordagem centrada nos humanos.
Embora a certificação ISO 42001 tenha sido um marco importante, ela marcou o início — e não o fim — da colaboração entre a Ernst & Young LLP e a Microsoft. Com base na experiência das equipes da EY que operacionalizam a IA responsável em escala e na liderança da Microsoft na área de IA responsável, a Equipe de M365 Trusted Platform da Microsoft e os profissionais da EY trabalharam em estreita colaboração com as equipes jurídica, de conformidade, IA responsável e engenharia da Microsoft.
Juntos, eles exploraram estratégias para reforçar as práticas de IA responsável existentes, preparar sua abordagem para o futuro e incorporar a IA responsável ao ritmo da inovação.
Com esses insights e feedback, as equipes da EY definiram os seguintes princípios orientadores para sustentar e escalar as práticas de IA responsável:
- Incorporar a IA responsável nos fluxos de trabalho diários a fim de criar uma rotina operacional
- Validar continuamente o design e a eficácia dos controles
- Disponibilizar às equipes ferramentas e modelos para acelerar a adoção
- Capturar o feedback dos usuários no mundo real para obter informações sobre melhorias
- Oferecer treinamento contínuo para acompanhar a evolução dos riscos e requisitos
Esses princípios foram traduzidos em iniciativas tangíveis, para garantir que a IA responsável não fosse apenas uma política, mas também uma prática. Ao investir nessas áreas, a Microsoft fortaleceu sua capacidade de implantar a IA de forma responsável, adaptar-se às regulamentações emergentes e construir uma confiança duradoura com os usuários.
"Operacionalizar a confiança na IA exige mais do que uma lista de verificação — exige um sistema de responsabilidade que evolua com a tecnologia e com as pessoas que a utilizam", diz Andrea Craig, diretora de Consultoria em Tecnologia da Ernst & Young LLP. "Nosso trabalho com a Microsoft se concentrou na criação desse sistema, que é resiliente, dimensionável e projetado para se adaptar conforme os recursos de IA e as expectativas dos clientes continuem a evoluir."
