O que está acontecendo
Quando toda a documentação, monitoramento e validação do modelo de IA está com o fornecedor, você opera o resultado — não o sistema. Você usa os outputs sem ter acesso nem controle sobre como são produzidos.
Isso é comum em sistemas de scoring de crédito terceirizados, plataformas de análise de risco por fornecedor especializado, modelos de previsão de demanda de ERPs, e qualquer IA oferecida como "black box" pelo fornecedor.
O fornecedor é proprietário do modelo. Você é usuário. Para o regulador, você é o responsável.
Por que isso é problema do CFO
Para auditoria SOX, LGPD e ISO 42001, o responsável pelo controle é você — não o fornecedor. A evidência precisa estar na sua empresa, não no portal do fornecedor.
Você não consegue responder as perguntas básicas de auditoria sem ligar para o fornecedor. Isso significa que você não tem controle — tem dependência.
Se o contrato for rescindido, você perde acesso à documentação. Se o fornecedor falir ou for adquirido, você perde rastreabilidade do histórico do modelo.
O que acontece quando isso vai para auditoria
O auditor vai verificar: você consegue responder quem é o AI Owner, qual a frequência de revisão, quais dados são usados no modelo, qual é o processo de incidente — sem ligar para o fornecedor? Se não consegue, você tem achado de controle inexistente.
O auditor não aceita documentação do fornecedor como evidência de controle da empresa. A evidência precisa ser gerada e mantida pela empresa que usa o modelo.
O que fazer
- Para cada modelo de fornecedor crítico: criar documentação interna própria baseada no que o fornecedor informa — mesmo que seja resumo, é propriedade da empresa
- Exigir contratualmente: acesso à documentação técnica relevante, relatório periódico de performance do modelo, notificação de mudanças significativas
- Nomear um responsável interno pelo modelo — independente de quem o construiu e mantém
- Criar monitoramento interno mínimo: métricas de output do modelo que você controla, independente dos relatórios do fornecedor
- Testar periodicamente: "consigo responder as perguntas básicas de auditoria sem ligar para o fornecedor?" Se não, você tem lacuna
"Se você não consegue provar, você não controla. Dependência total do fornecedor para responder auditoria é ausência de controle — independente do fornecedor ser confiável."