DESAFIO
Com a ampliação da utilização da Inteligência Artificial em contextos corporativos e de negócios, a Sabesp começou a perceber uma série de oportunidades para a utilização da IA nas suas rotinas, sobretudo neste momento em que a empresa vivencia.
Primeiramente, de modo que possam entender a dimensão do desafio, é importante analisar o momento da organização. Trata-se de uma empresa que recentemente passou por um processo de privatização e está passando por uma verdadeira transformação em seu modo de operar ao aprimorar sistemas, processos, investir em tecnologia, bem como buscando as melhores pessoas para atingir os seus objetivos estratégicos.
Com esse cenário, sem esquecer a volatilidade da atual sociedade, a empresa reposicionou o Jurídico interno. Pensado para ser um diferencial competitivo nesse contexto, o time jurídico está investindo em gestão, inovação, tecnologia, contratação de pessoas com as habilidades corretas, investimento nas pessoas que já possuem determinadas skills e aumento de eficiência em seus processos.
Desta forma, a Sabesp consultou todas as áreas do Jurídico para entender quais dores poderiam remediar com a utilização de Agentes de IA. De forma concomitante, a gerência sênior de Governança de IA elaborou, de forma prática, dinâmica e eficiente, um framework para aprovação e mapeamento de riscos de projetos de Inteligência Artificial. O desafio da criação desta estrutura de governança reside em termos, no Brasil, um ambiente legislativo ainda incerto, já que o principal projeto de lei ainda não foi sancionado, mas com pressão internacional do AI Act Europeu, especialmente para as empresas de tecnologia e internacionais, e também da OCDE, bem como outros documentos internacionais sobre o tema.
Ignorar a inteligência artificial é impossível, a nova tecnologia é irrefreável, mas permitir que ela seja utilizada sem os devidos guard rails, controles, supervisão e cuidado pode fazer com que a reputação ou resultados recebam mais malefícios, fazendo com que os riscos se materializem quando não mapeados desde o princípio e, o sistema que traria eficiência, se torna um tiro no pé.
SOLUÇÃO
Após o mapeamento das dores internas, cujos principais vetores residem no alto volume de dados disponíveis e na necessidade de velocidade de resposta, a empresa foi ao mercado para entender quais fornecedores poderiam ajudar. Para isso, foi montado um grupo de trabalho para analisar as aplicações, estruturar o business case e fazer a medição dos projetos mais relevantes e significativos para o Jurídico.
Com isso, a Sabesp teve dois projetos vencedores: o primeiro para apoio na gestão de multas de posturas e o segundo para apoiar a preparação de subsídios considerando os sistemas internos da organização.
As demais dores/problemas levantadas foram incluídas em um sistema de espera (parking lot), de modo que a empresa pudesse focar nos projetos mais eficientes em um curto espaço de tempo.
Sobre a governança, que reside em um conjunto de políticas, procedimentos, processos, práticas e sistemas que suportam a utilização de IA na empresa, está em processo de construção, foi estruturada uma esteira de avaliação rápida para não perder o timing e também servir de piloto.
A esteira rápida de governança é composta por 3 etapas: inventário inicial, matriz de riscos e plano de implantação.
O inventário inicial serve como sistema de registro de operações contendo itens balizadores de comprovação de finalidade, necessidade, origem dos dados, legitimidade de tratamento, guard rails necessários, modelos de supervisão e tipos de tecnologias utilizada.
A matriz de riscos, contendo mais de 40 controles automatizados e metrificados por probabilidade e impacto de incidência, são divididos em riscos inaceitáveis, altos, médios e limitados. A capacidade de clusterização permite com que sejam aplicadas medidas de governança em esteiras mais simples ou mais complexas, liberando para desenvolvimento o que traz poucos riscos e aplicando medidas mitigatórias nos que requerem mais cuidados, sem afetar o tempo de desenvolvimento.
Já o plano de implantação prevê testes homologatórios com prevenção de prompt injection e ações maliciosas com esferas de avaliação operacional, dados, estrutural, reputacional, financeiro e tomada de decisão. Este plano deve ser executado por equipe montada com bases em diversidade, o que faz com que se tenha olhares plurais para os resultados.
De forma simplificada, este sistema de governança tem por objetivo estruturar a maneira com que ideias se transformam em projetos. Cada um dos elementos tem por objetivo trazer exatidão e controle dos usos e tratamentos que se espera da IA, garantir a conformidade com frameworks legais internacionais e nacionais, prever um plano de mitigação de riscos que será acompanhado por equipe multidisciplinar, assim como plano de homologação com previsão e bloqueio de prompt injection e ações maliciosas.
IMPLEMENTAÇÃO
- Aplicação de rodadas de reunião para entendimento das demandas;
- Criação de arquitetura funcional;
- Criação dos sistemas de governança e mitigação de riscos;
- Divisão da implementação dos dois projetos em etapas, de modo que fosse possível iniciar o progresso em segurança;
- Aprovação do business case.
RESULTADO
Em quase dois meses, a Sabesp teve:
- Unificação de 8 possíveis projetos, com a priorização de 2 iniciativas;
- Redefinição da estratégia de IA para o jurídico;
- Alinhamento de mais de 12 áreas distintas da organização, que passam a ter um único planejamento estratégico para o Jurídico (Infra, TI, Governança de Dados, Segurança da Informação e todas as do Jurídico, como Data Privacy, AI Governance, Compliance, Contencioso, Consultivo, Legal Operationse Regulatório);
- Criação de sistema de governança para i) inventariar as iniciativas; ii) mitigar riscos alinhados à legislação internacional (AI Act Europeu) e nacional (Projeto de Lei 2338 - Marco Legal de Inteligência Artificial), incluindo ainda os melhores frameworks para o tema (como o NIST e recomendações da OCDE).