O que está acontecendo
Ciclo de vida de modelo é o histórico completo e verificável: quem aprovou o go-live, com quais dados foi treinado, qual era a versão na data X, quem validou, quando foi a última revisão, quem pode suspender.
Sem esse registro, o modelo existe em produção mas não tem história auditável. É como um lançamento contábil sem documento de suporte: o número existe, mas não tem rastreabilidade.
Ocorre especialmente quando modelos são criados por times de TI ou fornecedores e entram em produção sem processo formal de aprovação e entrega de documentação para o negócio.
Por que isso é problema do CFO
Para ISO 42001, EU AI Act e auditoria SOX em sistemas financeiros, ciclo de vida documentado é requisito mínimo — não boa prática.
Sem ciclo de vida, cada pergunta de auditoria exige uma investigação. Com ciclo de vida, cada pergunta tem resposta em segundos. A diferença não é só de organização — é de capacidade de defesa em auditoria.
O CFO que não consegue responder "qual versão do modelo estava em produção em março do ano passado" tem problema em auditoria retrospectiva — que é o tipo mais comum de investigação regulatória.
O que acontece quando isso vai para auditoria
Auditores especializados em IA vão pedir: data de aprovação do go-live, quem aprovou, qual era a versão, dados usados no treinamento, resultado da validação. Se qualquer um desses itens não existe, você tem achado.
Em investigação regulatória retrospectiva, a ausência de ciclo de vida é interpretada como ausência de controle durante o período em questão. Não como falha administrativa — como ausência de governança.
Impacto financeiro estimado
Custo de reconstrução retroativa de ciclo de vida: alto esforço, resultados questionáveis. Auditores não aceitam documentação criada após o fato com o mesmo peso que documentação contemporânea.
Custo de processo regulatório sem documentação de defesa: honorários jurídicos + consultoria especializada + eventual multa sem atenuante de boa governança.
O que fazer
- Criar ficha de modelo para cada sistema de IA em produção — uma página é suficiente para começar
- Campos mínimos: nome, versão atual, data de aprovação do go-live, AI Owner, objetivo do modelo, origem dos dados de treino, frequência de revisão, limitações conhecidas
- Manter histórico de versões: o auditor pode perguntar qual versão estava em produção em uma data específica no passado
- Incluir processo de descontinuação: o que acontece quando o modelo for aposentado — dados retidos, responsabilidade transferida, registro arquivado
- Incluir preenchimento da ficha como critério de go-live para novos modelos — sem ficha completa, sistema não entra em produção
"Se você não consegue provar, você não controla. Ciclo de vida não documentado significa que o modelo existe — mas você não consegue provar que esteve em controle em nenhum momento."