Como estão as organizações a abordar os riscos da IA para redesenhar a sua governação?

Com a rápida adoção da IA a apresentar oportunidades e desafios, o mais recente inquérito da EY aborda a necessidade urgente de as organizações reforçarem as suas estratégias de governação e gestão de riscos em IA

• Muitas organizações não têm uma estratégia clara para a adoção da IA
• Os modelos de governação para a IA estão frequentemente pouco definidos
• Faltam, muitas vezes, controlos de gestão abrangentes
• O cumprimento integral do Regulamento Europeu da IA (AI Act) continua a ser um desafio
• As responsabilidades na gestão de dados são frequentemente pouco claras
• A preparação para auditar sistemas de IA e promover a consciencialização ética é insuficiente
• A formação abrangente em governação da IA raramente é disponibilizada

A procura por soluções de Inteligência Artificial (IA) está a crescer rapidamente, colocando as organizações num momento decisivo: reforçar as suas capacidades ou correr o risco de ficar para trás. Esta urgência sublinha a importância crítica de uma governação eficaz da IA e de uma gestão rigorosa dos riscos, à medida que as organizações enfrentam as complexidades da integração da IA. Ao procurarem tirar partido da IA para obter vantagem competitiva, as organizações devem também manter-se atentas aos potenciais riscos.

O Inquérito EY Europe West Technology Risk – Governação, Riscos e Conformidade em IA 2025 oferece informações valiosas sobre a forma como as organizações estão a adotar e a implementar a IA, bem como sobre as suas práticas na gestão de riscos associados.

Sobre o inquérito
Realizado entre fevereiro e abril de 2025, o inquérito recolheu respostas de 57 participantes provenientes de 55 empresas diferentes, representando uma ampla variedade de setores na região da Europa Oeste. Os respondentes incluíram perfis diversificados, como gestores de TI, gestores de risco, diretores jurídicos, auditores e executivos, proporcionando uma visão abrangente do panorama atual.

A análise do inquérito está estruturada em três capítulos principais:

1. Metodologia do Inquérito e Perfil dos Respondentes
2. Estratégia de Inteligência Artificial
3. Gestão de Risco e Implementação Responsável da IA

Nota: As percentagens foram arredondadas à unidade mais próxima, o que pode resultar em totais que não perfazem 100% devido a erros de arredondamento.

Falta de Estratégias Claras para a Adoção da IA
Muitas organizações não dispõem de uma estratégia definida para a adoção da IA, o que limita a sua capacidade de tirar pleno partido destas tecnologias para obter vantagem competitiva.

As organizações reconhecem cada vez mais a necessidade de uma estratégia clara de adoção da IA para impulsionar o crescimento e a inovação. No entanto, muitas enfrentam desafios na fase de implementação, o que indica que podem estar a perder oportunidades valiosas de utilizar a IA de forma eficaz.

Quase um terço dos inquiridos afirma ter uma estratégia de adoção de IA sem implementação ou, simplesmente, não ter qualquer estratégia.

Nível de maturidade na adoção da IA

Muitas organizações continuam em fase de alinhamento das suas estratégias, o que indica que poderão não estar a aproveitar plenamente os potenciais benefícios da integração da IA. À medida que o panorama empresarial continua a evoluir, as organizações que não integrem a IA nas suas estratégias correm o risco de ficar atrás da concorrência e de perder oportunidades valiosas de crescimento.

Um número significativo, 28% não considerou, até ao momento, incorporar IA nos seus referenciais estratégicos.

Atualização do plano estratégico para incorporar o impacto da IA

Modelos de Governação pouco Desenvolvidos

Um número significativo de organizações não dispõe de modelos de governação bem definidos para a IA, aumentando o risco de práticas inconsistentes.

As organizações reconhecem os riscos potenciais associados à IA, sendo que a maioria dos inquiridos identificou os “Riscos de Dados e Privacidade” e os “Riscos de TI e Segurança” como as suas principais preocupações. No entanto, a baixa classificação dos “Riscos de Terceiros” sugere que as organizações podem estar a subestimar a sua importância, criando potenciais vulnerabilidades num ambiente interconectado.

Classificação média dos riscos antecipados decorrentes da utilização de IA

A forma mais eficaz de enfrentar estes riscos percebidos é através do desenvolvimento de um quadro de governação robusto. No entanto, o inquérito revela que 70% das organizações não dispõem de modelos de governação de IA bem definidos, evidenciando uma lacuna crítica na supervisão e gestão dos sistemas de IA. Sem estes quadros, as organizações podem ter dificuldades em gerir eficazmente os desafios associados à IA e em assegurar uma implementação bem-sucedida.

Menos de um terço dos inquiridos afirma ter um modelo de governação de IA bem definido.

Modelo de governação de IA: funções, responsabilidades e processos definidos?

Necessidade de Reforço da Gestão de Riscos

Embora algumas organizações possuam políticas formais de IA, muitas ainda não dispõem de controlos de gestão abrangentes, evidenciando a necessidade de uma governação mais eficaz.

Estabelecer políticas formais de IA é fundamental para que as organizações geram os riscos de forma eficaz, assegurem o cumprimento das normas e promovam o uso ético das tecnologias de IA num ambiente empresarial cada vez mais complexo. Embora a maioria das organizações tenha implementado políticas formais de IA, um número significativo ainda carece destes quadros essenciais, sublinhando a necessidade de uma governação mais robusta nas práticas de IA. [Insert Nested related service page tile]

Quase metade dos inquiridos não possui políticas definidas relacionadas com a utilização de IA.

Existência de políticas formais de IA

Para que estas políticas sejam eficazes, as organizações devem seguir uma abordagem estruturada que assegure a gestão adequada de todos os riscos associados. Isto implica a implementação de controlos de risco de IA abrangentes, que não só abordem vulnerabilidades atuais, como também se adaptem aos desafios em evolução no panorama da IA.

80% dos inquiridos ainda precisam de desenvolver os seus controlos de gestão de risco.

Existem controlos específicos definidos para gerir os riscos da IA?

Desafios no Cumprimento do Regulamento Europeu da IA

A consciencialização sobre o Regulamento Europeu da IA (EU AI Act) é generalizada, mas muitas organizações enfrentam dificuldades em alcançar o cumprimento integral.

Para que as organizações consigam navegar eficazmente no panorama regulatório, é essencial estar consciente do EU AI Act. O inquérito revela que aproximadamente 80% das organizações têm conhecimento do Regulamento, sendo que muitas já realizaram ou planeiam realizar avaliações de impacto para assegurar o cumprimento.

Conhecimento do Regulamento Europeu da IA

Apesar da consciencialização generalizada sobre o Regulamento Europeu da IA, o número de empresas que cumpre integralmente os seus requisitos continua alarmantemente baixo. Esta falta de conformidade representa riscos significativos, pois as organizações podem enfrentar penalizações regulatórias e perder oportunidades de utilizar a IA de forma responsável.

Segundo o inquérito, alguns setores lideram na conformidade com este regulamento, como os setores da Energia e do Retalho.

Um preocupante 72% das organizações não está totalmente em conformidade com o EU AI Act.

A organização cumpre o Regulamento Europeu da IA?

Políticas de Gestão de Dados Indefinidas

Muitas organizações não possuem responsabilidades de gestão de dados claramente definidas que abranjam todos os aspetos relevantes, evidenciando a necessidade de um maior desenvolvimento nesta área.

Estabelecer procedimentos claros de gestão de dados é essencial para que as organizações consigam mitigar eficazmente os riscos associados ao tratamento de dados. O inquérito indica que, embora as organizações concentrem principalmente os seus esforços na definição de políticas de formação para medidas de segurança, existem lacunas em várias áreas-chave, como a criação de processos contínuos de gestão de dados. Este contraste evidencia que muitos aspetos das medidas de segurança e da governação continuam pouco desenvolvidos.

Atualmente, as organizações concentram-se sobretudo em sessões de formação e sensibilização sobre gestão e proteção de dados.

Medidas de segurança para dados de IA

A gestão eficaz dos processos de recolha de dados e de treino de modelos contribui para uma maior fiabilidade dos sistemas de IA. No entanto, o inquérito revela que algumas organizações não possuem processos bem definidos e sistemáticos para a recolha de dados para treino de IA, atualização de modelos de IA e gestão do ciclo de vida dos sistemas de IA, não havendo planos para desenvolver estes quadros críticos.

Entre 23% e 30% das organizações não têm um processo definido ou planos para desenvolver um nestas três áreas críticas da gestão de dados.

Recolha e gestão de dados para treino de IA

Definição do processo de gestão do ciclo de vida da IA

Processos de atualização e treino de modelos de IA

Preparação Insuficiente para Auditorias e Consciencialização Global em Sistemas de IA

Muitas organizações não estão preparadas para auditar os seus sistemas de IA nem para promover a consciencialização sobre práticas éticas, existindo uma necessidade crítica de melhoria.

A preparação eficaz para auditorias é essencial para que as organizações assegurem a integridade, conformidade e fiabilidade dos seus sistemas de IA. No entanto, muitas organizações não estão totalmente preparadas para realizar auditorias, e um número significativo não possui planos para desenvolver as capacidades necessárias.

Apenas 10% das empresas estão totalmente preparadas para auditar sistemas de IA.

Preparação da organização para auditar sistemas de IA

Promover a consciencialização ética é essencial para que as organizações garantam o uso responsável da IA e construam confiança junto das partes interessadas. No entanto, muitas organizações realizam apenas atividades ocasionais de sensibilização sobre a ética na IA, enquanto outras não promovem estes princípios de todo, evidenciando a necessidade de esforços mais proativos nesta área.

Um terço dos inquiridos não promove, de forma alguma, princípios éticos de IA dentro da organização.

Como são promovidos os princípios éticos de IA?

Um número significativo de organizações não fornece formação abrangente sobre governação de IA, evidenciando uma lacuna crítica na educação dos colaboradores.

Programas de formação eficazes são essenciais para dotar os colaboradores do conhecimento necessário para lidar com a governação, os riscos e a conformidade em IA. No entanto, o inquérito revela que apenas 33% das organizações oferecem formação abrangente nestas áreas, com muitas ainda sem programas ou em fase de desenvolvimento. Esta situação representa um risco para as empresas, uma vez que a formação insuficiente pode levar à má gestão dos sistemas de IA e ao aumento dos riscos de conformidade.

Quase um quarto dos inquiridos não fornece formação em IA e não possui planos para desenvolver um programa.

A organização fornece formação em GRC de IA aos colaboradores envolvidos?