O que está acontecendo
Evidência de controle não é documento de política. É registro de que o controle foi executado.
Para um controle de acesso, evidência é o log de acesso. Para um controle de aprovação, evidência é a ata. Para um controle de monitoramento de modelo de IA, evidência é o relatório de monitoramento do período — não a política que diz que o monitoramento deve acontecer.
A maioria das empresas cria políticas e processos. Não cria o hábito de registrar que os processos foram executados. Política sem evidência de execução é intenção — não controle.
Por que isso é problema do CFO
Para SOX, LGPD e ISO 42001, a distinção entre política e evidência é absoluta. Política descreve o que deve acontecer. Evidência prova que aconteceu.
Ressalva de auditoria por ausência de evidência é tão grave quanto ressalva por ausência de controle. O auditor não consegue verificar se o controle foi executado — e sem verificação, assume que não foi.
O que o auditor aceita vs. o que não aceita
Não aceita
Política de IA documentada
Apresentação sobre governança de IA
Dashboard de disponibilidade do sistema
Declaração verbal de que "monitoramos"
Screenshot de tela do sistema
Aceita
Log de monitoramento com datas e métricas
Ata de revisão periódica assinada pelo AI Owner
Documento de aprovação de go-live datado
Registro de incidente com data de abertura e encerramento
Relatório de validação com critérios e resultados
O que acontece quando isso vai para auditoria
Ressalva de auditoria mesmo com política implementada. O achado é: "controle descrito mas sem evidência de execução". A remediação exige criar as evidências — o que é impossível de fazer retroativamente com a mesma credibilidade.
Auditores que encontram ausência de evidências em um controle tendem a expandir o escopo de teste. Você resolve um achado e cria dez novas perguntas.
O que fazer
- Para cada controle de IA existente: definir qual é a evidência esperada antes de implementar — não depois
- Evidência mínima por modelo crítico: log de monitoramento mensal + ata de revisão trimestral + documento de aprovação de go-live + AI Owner ativo com data de nomeação
- Armazenar evidências com data, autor e versionamento — evidência sem data não tem valor em auditoria
- Testar o processo antes da auditoria: simular o pedido de evidência do auditor e verificar se você consegue apresentar em menos de 24 horas
- Screenshot de dashboard não é evidência: precisa ser exportado com data e contexto, ou substituído por relatório formal
"Controle não é documento. É evidência. A diferença entre os dois é o que o auditor registra como achado."