Relatório de Auditoria AI Act

Regulamento (UE) 2024/1689

Organização auditada: [Nome da organização]

NIF: [NIF da organização]

Morada: [Morada completa]

Referência: AUD-IA-[AAAA]-[NNN]

Data do relatório: [DD/MM/AAAA]

Classificação: Confidencial

Entidade auditora	[Nome da entidade auditora]
Auditor responsável	[Nome do auditor principal]
Equipa de auditoria	[Nomes dos membros da equipa]
Período da auditoria	[DD/MM/AAAA] a [DD/MM/AAAA]
Tipo de auditoria	[Inicial / Periódica / Extraordinária / Seguimento]
Norma de referência	Regulamento (UE) 2024/1689 (Regulamento IA)
Pessoa de contacto (auditado)	[Nome e função]

1. Sumário Executivo

Avaliação global: [Conforme / Parcialmente Conforme / Não Conforme]

[Inserir parágrafo de resumo executivo descrevendo os principais resultados da auditoria, o nível global de conformidade da organização com o Regulamento IA, as principais áreas de força e as áreas que requerem atenção imediata. Este resumo deve ser compreensível para a administração sem necessidade de leitura do relatório completo.]

Principais conclusões:

Aspeto	Resultado
Sistemas de IA identificados	[Número]
Sistemas de alto risco	[Número]
Não conformidades críticas	[Número]
Não conformidades maiores	[Número]
Não conformidades menores	[Número]
Observações / Oportunidades de melhoria	[Número]
Pontuação global de conformidade	[X.X / 5.0]

2. Âmbito da Auditoria

2.1. Âmbito incluído

[Descrição do âmbito - departamentos, processos, sistemas incluídos]
[Localizações/instalações abrangidas]
[Período coberto pela auditoria]

2.2. Âmbito excluído

[Descrição de áreas, sistemas ou processos excluídos e justificação]

2.3. Sistemas de IA auditados

Os seguintes sistemas de IA foram incluídos no âmbito da presente auditoria:

ID	Nome do Sistema	Classificação de Risco	Departamento	Papel da Organização
IA-001	[Nome]	[Alto/Limitado/Mínimo]	[Departamento]	[Fornecedor/Responsável pela implantação]
IA-002	[Nome]	[Alto/Limitado/Mínimo]	[Departamento]	[Fornecedor/Responsável pela implantação]
IA-003	[Nome]	[Alto/Limitado/Mínimo]	[Departamento]	[Fornecedor/Responsável pela implantação]

3. Metodologia

3.1. Abordagem de auditoria

A auditoria foi conduzida de acordo com as seguintes metodologias e normas:

Regulamento (UE) 2024/1689 - Regulamento Inteligência Artificial
ISO/IEC 42001:2023 - Sistema de gestão de inteligência artificial
ISO 19011:2018 - Diretrizes para auditoria de sistemas de gestão
[Outras normas ou frameworks aplicados]

3.2. Técnicas de auditoria utilizadas

Análise documental (políticas, procedimentos, registos)
Entrevistas com responsáveis e operadores
Observação direta de processos
Testes técnicos e verificação de sistemas
Amostragem de registos e evidências
Revisão de código e configuração (quando aplicável)

3.3. Escala de pontuação

Pontuação	Classificação	Descrição
5	Excelente	Práticas exemplares; conformidade total; melhoria contínua demonstrada
4	Bom	Conformidade substancial; melhorias menores necessárias
3	Adequado	Conformidade básica; áreas significativas a melhorar
2	Insuficiente	Conformidade parcial; lacunas importantes identificadas
1	Crítico	Não conformidade grave; ação imediata necessária

4. Inventário de Sistemas de IA

Resumo dos sistemas de IA identificados na organização durante a auditoria:

ID	Nome do Sistema	Fornecedor	Finalidade	Classificação	Estado	Registado BD UE
IA-001	[Nome]	[Fornecedor]	[Finalidade]	[Risco]	[Ativo/Inativo]	[Sim/Não/N.A.]
IA-002	[Nome]	[Fornecedor]	[Finalidade]	[Risco]	[Ativo/Inativo]	[Sim/Não/N.A.]
IA-003	[Nome]	[Fornecedor]	[Finalidade]	[Risco]	[Ativo/Inativo]	[Sim/Não/N.A.]
IA-004	[Nome]	[Fornecedor]	[Finalidade]	[Risco]	[Ativo/Inativo]	[Sim/Não/N.A.]
IA-005	[Nome]	[Fornecedor]	[Finalidade]	[Risco]	[Ativo/Inativo]	[Sim/Não/N.A.]

Nota: A existência de sistemas de IA não inventariados pela organização constitui, por si só, uma constatação de auditoria relevante. Os sistemas acima foram identificados pela equipa de auditoria; a lista oficial da organização pode diferir.

5. Avaliação por Domínio

5.1. Governança e Organização

Pontuação: [1-5] / 5

Artigos relevantes: Art. 4, Art. 16, Art. 26

Constatações:

[Constatação 1 - descrever o que foi observado relativamente à estrutura de governança de IA]
[Constatação 2 - existência de políticas e procedimentos]
[Constatação 3 - definição de funções e responsabilidades]

Evidências analisadas:

[Documentos, registos, entrevistas analisadas]

Recomendações:

[Recomendação 1]
[Recomendação 2]

5.2. Gestão de Risco

Pontuação: [1-5] / 5

Artigos relevantes: Art. 9 - Sistema de gestão de riscos

Constatações:

[Constatação 1 - existência e eficácia do sistema de gestão de riscos]
[Constatação 2 - identificação e avaliação de riscos]
[Constatação 3 - medidas de mitigação implementadas]

Evidências analisadas:

[Documentos, registos, entrevistas analisadas]

Recomendações:

[Recomendação 1]
[Recomendação 2]

5.3. Documentação Técnica

Pontuação: [1-5] / 5

Artigos relevantes: Art. 11 - Documentação técnica; Art. 18 - Obrigações dos mandatários; Anexo IV

Constatações:

[Constatação 1 - existência e completude da documentação técnica]
[Constatação 2 - conformidade com o Anexo IV]
[Constatação 3 - atualização e manutenção da documentação]

Evidências analisadas:

[Documentos, registos analisados]

Recomendações:

[Recomendação 1]
[Recomendação 2]

5.4. Proteção de Dados

Pontuação: [1-5] / 5

Artigos relevantes: Art. 10 - Dados e governança de dados; RGPD

Constatações:

[Constatação 1 - conformidade com requisitos de governança de dados]
[Constatação 2 - tratamento de dados pessoais]
[Constatação 3 - avaliações de impacto sobre proteção de dados]

Evidências analisadas:

[Documentos, registos analisados]

Recomendações:

[Recomendação 1]
[Recomendação 2]

5.5. Transparência

Pontuação: [1-5] / 5

Artigos relevantes: Art. 13 - Transparência e prestação de informações; Art. 50 - Obrigações de transparência

Constatações:

[Constatação 1 - informação prestada aos utilizadores]
[Constatação 2 - instruções de utilização e limitações]
[Constatação 3 - marcação de conteúdo sintético]

Evidências analisadas:

[Documentos, registos analisados]

Recomendações:

[Recomendação 1]
[Recomendação 2]

5.6. Supervisão Humana

Pontuação: [1-5] / 5

Artigos relevantes: Art. 14 - Supervisão humana

Constatações:

[Constatação 1 - mecanismos de supervisão humana implementados]
[Constatação 2 - capacidade de intervenção e anulação]
[Constatação 3 - formação dos supervisores]

Evidências analisadas:

[Documentos, registos analisados]

Recomendações:

[Recomendação 1]
[Recomendação 2]

5.7. Literacia em IA

Pontuação: [1-5] / 5

Artigos relevantes: Art. 4 - Literacia no domínio da IA

Constatações:

[Constatação 1 - programas de formação existentes]
[Constatação 2 - nível de conhecimento dos colaboradores]
[Constatação 3 - adequação da formação às funções]

Evidências analisadas:

[Documentos, registos de formação analisados]

Recomendações:

[Recomendação 1]
[Recomendação 2]

5.8. Monitorização Pós-Mercado

Pontuação: [1-5] / 5

Artigos relevantes: Art. 72 - Monitorização pós-comercialização; Art. 73 - Comunicação de incidentes graves

Constatações:

[Constatação 1 - sistema de monitorização pós-mercado]
[Constatação 2 - procedimentos de comunicação de incidentes]
[Constatação 3 - recolha e análise de dados de desempenho]

Evidências analisadas:

[Documentos, registos analisados]

Recomendações:

[Recomendação 1]
[Recomendação 2]

6. Não Conformidades Identificadas

ID	Descrição	Severidade	Artigo(s)	Recomendação	Prazo
NC-001	[Descrição detalhada da não conformidade]	Crítica	[Art. XX]	[Ação recomendada]	[DD/MM/AAAA]
NC-002	[Descrição detalhada da não conformidade]	Maior	[Art. XX]	[Ação recomendada]	[DD/MM/AAAA]
NC-003	[Descrição detalhada da não conformidade]	Menor	[Art. XX]	[Ação recomendada]	[DD/MM/AAAA]
NC-004	[Descrição detalhada da não conformidade]	Menor	[Art. XX]	[Ação recomendada]	[DD/MM/AAAA]
OBS-001	[Descrição da observação / oportunidade de melhoria]	Observação	[Art. XX]	[Sugestão de melhoria]	[DD/MM/AAAA]

Classificação de severidade:
Crítica: Risco imediato de violação grave do Regulamento IA; ação imediata obrigatória.
Maior: Incumprimento significativo; ação corretiva necessária num prazo curto.
Menor: Desvio parcial; ação corretiva num prazo razoável.
Observação: Oportunidade de melhoria; não constitui não conformidade formal.

7. Plano de Ação Corretiva

Prioridade	NC Ref.	Ação Corretiva	Responsável	Prazo	Recursos Necessários	Estado
1 (Urgente)	NC-001	[Descrição da ação corretiva]	[Responsável]	[DD/MM/AAAA]	[Recursos]	[Pendente]
2 (Alta)	NC-002	[Descrição da ação corretiva]	[Responsável]	[DD/MM/AAAA]	[Recursos]	[Pendente]
3 (Média)	NC-003	[Descrição da ação corretiva]	[Responsável]	[DD/MM/AAAA]	[Recursos]	[Pendente]
4 (Normal)	NC-004	[Descrição da ação corretiva]	[Responsável]	[DD/MM/AAAA]	[Recursos]	[Pendente]
5 (Melhoria)	OBS-001	[Descrição da melhoria]	[Responsável]	[DD/MM/AAAA]	[Recursos]	[Pendente]

8. Pontuação Global de Conformidade

[X.X] / 5.0

Pontuação Global de Conformidade com o Regulamento IA

Classificação: [Excelente / Bom / Adequado / Insuficiente / Crítico]

Resumo por domínio

Domínio	Pontuação	Peso	Pontuação Ponderada
Governança e Organização	[X]/5	15%	[X.XX]
Gestão de Risco	[X]/5	15%	[X.XX]
Documentação Técnica	[X]/5	15%	[X.XX]
Proteção de Dados	[X]/5	10%	[X.XX]
Transparência	[X]/5	15%	[X.XX]
Supervisão Humana	[X]/5	10%	[X.XX]
Literacia em IA	[X]/5	10%	[X.XX]
Monitorização Pós-Mercado	[X]/5	10%	[X.XX]
TOTAL		100%	[X.XX]/5.00

9. Conclusões e Recomendações

9.1. Conclusões

[Inserir conclusões gerais da auditoria, incluindo os pontos fortes da organização, as principais áreas de preocupação e a avaliação global da maturidade em conformidade com o Regulamento IA.]

9.2. Recomendações prioritárias

[Recomendação prioritária 1 - descrição e justificação]
[Recomendação prioritária 2 - descrição e justificação]
[Recomendação prioritária 3 - descrição e justificação]
[Recomendação prioritária 4 - descrição e justificação]
[Recomendação prioritária 5 - descrição e justificação]

10. Próximos Passos

Passo	Descrição	Prazo	Responsável
1	Apresentação dos resultados à administração	[DD/MM/AAAA]	[Auditor]
2	Acordo sobre plano de ação corretiva	[DD/MM/AAAA]	[Organização auditada]
3	Implementação das ações corretivas urgentes	[DD/MM/AAAA]	[Responsáveis designados]
4	Auditoria de seguimento (verificação de ações corretivas)	[DD/MM/AAAA]	[Auditor]
5	Próxima auditoria periódica	[DD/MM/AAAA]	[Auditor]

11. Assinaturas

Auditor Responsável:

Nome: [Nome]

Função: [Função]

Entidade: [Entidade auditora]

Data: [DD/MM/AAAA]

Assinatura

Membro da Equipa de Auditoria:

Nome: [Nome]

Função: [Função]

Entidade: [Entidade auditora]

Data: [DD/MM/AAAA]

Assinatura

Representante da Organização Auditada:

Nome: [Nome]

Função: [Função]

Data: [DD/MM/AAAA]

Assinatura e carimbo

Responsável de Conformidade IA (Auditado):

Nome: [Nome]

Função: [Função]

Data: [DD/MM/AAAA]

Assinatura

12. Anexos

Anexo	Descrição	Páginas
Anexo A	Plano de auditoria detalhado	[N]
Anexo B	Lista de documentos analisados	[N]
Anexo C	Registos de entrevistas realizadas	[N]
Anexo D	Evidências fotográficas / capturas de ecrã	[N]
Anexo E	Resultados de testes técnicos	[N]
Anexo F	Inventário completo de sistemas de IA	[N]
Anexo G	Mapeamento de artigos do Regulamento IA versus evidências	[N]

Relatório de auditoria elaborado em conformidade com o Regulamento (UE) 2024/1689 - Regulamento Inteligência Artificial
Documento confidencial - Distribuição restrita
[Nome da entidade auditora] - Ref. AUD-IA-[AAAA]-[NNN]