第四章 ISO/IEC 42001人工智能管理体系导入实施案例
第十六节 内部审核
人工智能管理体系每年至少需要进行一次内部审核,内部审核需要覆盖组织人工智能管理体系的全部范围。
人工智能管理体系内部审核的过程大致分为以下几个步骤:(1)任命内部审核小组组长;(2)编制内部审核计划;(3)编写检查表;(4)发布内部审核通知;(5)组织实施内部审核;(6)不符合项的改善和验证。
内部审核小组组长一般是由组织的最高管理者或管理者代表指定。然后,内部审核小组组长,需要编写内部审核计划,以明确审核目的,审核依据,审核范围,审核时间,审核组成员,以及详细审核计划(如表三十四)。内部审核计划编写完成之后,需要经过最高管理者或管理者代表批准,然后一般在距离内审时间点还有一周左右的时候,将内部审核计划,以及内部审核的安排等事项通知到各部门负责人以及相关内审员。
另外,内部审核小组组长还需要根据内部审核计划提前编写好实施内部审核所需要的检查表(如表三十五)。
表三十四 内部审核计划 示例
| 年度 | 2025 | 体系标准 | ISO/IEC 42001: 2023 | |
| 审核目的 | 验证公司ISO/IEC 42001人工智能管理体系过往一年运行的符合性 | |||
| 审核范围 | 公司人工智能管理体系覆盖的所有范围 | |||
| 审核依据 | ISO/IEC 42001: 2023标准,体系文件,以及相关方要求 | |||
| 审核时间 | 2026.2.10至2026.2.11 | |||
| 首次会议 | 2026.2.10 8:00至8:30 第一会议室 | |||
| 末次会议 | 2026.2.11 17:00至17:30 第一会议室 | |||
| 审核组 | 审核组长: A组成员: B组成员: C组成员: | |||
| 序号 | 审核部门 | 计划时间 | 审核条款 | 审核组成员 |
| 1 | 管理层 | 2.10/8:30至9:00 | 5.1、5.2、5.3、7.1、9.3、10.1 | A组 |
| 2 | 运营部 | 2.10/9:00至11:00 | 8.1、8.2、8.3(含适用性声明控制措施)、8.4 | B组 |
| 3 | 客服部 | 2.10/9:00至11:00 | 8.1、8.2、8.3(含适用性声明控制措施)、8.4 | C组 |
| 4 | 开发部 | 2.10/14:00至16:00 | 8.1、8.2、8.3(含适用性声明控制措施)、8.4 | A组 |
| 5 | 运维部 | 2.10/14:00至16:00 | 8.1、8.2、8.3(含适用性声明控制措施)、8.4 | C组 |
| 6 | 安全部 | 2.11/8:30至9:30 | 4.1、4.2、4.3、4.4、6.1(含附录A)、6.2、6.3、7.4、7.5、8.1、8.2、8.3(含适用性声明控制措施)、8.4、9.1、9.2、10.2 | B组 |
| 7 | 采购部 | 2.11/8:30至10:00 | 8.1、8.2、8.3(含适用性声明控制措施)、8.4 | C组 |
| 8 | 人力资源部 | 2.11/14:00至16:00 | 7.2、7.3、8.1、8.2、8.3(含适用性声明控制措施)、8.4 | A组 |
| 编制 | *** 2026.2.1 | 批准 | *** 2026.2.2 | |
表三十五 内部审核检查表(管理层) 示例
| 审核部门 | 管理层 | 应对人员 | CEO | |
| 审核日期 | 2026.2.10 | 审核成员 | A组 | |
| 序号 | 条款 | 检查内容 | 检查记录 | 检查结果 |
| 1 | 5.1 | 访谈最高管理是否参与以下事项,并验证相关记录 | ||
| 2 | 5.1 | 方针和目标的评审、批准 | ||
| 3 | 5.1 | 风险和机遇应对措施的评审和批准 | ||
| 4 | 5.1 | 是否有批准相关的资源需求 | ||
| 5 | 5.1 | 对组织高层,各部门负责人,以及全体员工通过各种方式沟通有效的人工智能管理和符合人工智能管理体系要求的重要性 | ||
| 6 | 5.1 | 主持管理评审,批准管理评审报告 | ||
| 7 | 5.1 | 参与持续改进 | ||
| 8 | 5.1 | 支持各部门负责人人工智能管理的工作 | ||
| 9 | 5.2 | 是否建立书面的人工智能方针 | ||
| 10 | 5.2 | 方针是否在组织内部进行了培训和宣导 | ||
| 11 | 5.3 | 最高管理者是否分配和沟通好与人工智能管理体系有关的职责和权限,如最高管理者的职责和权限、组织参与人工智能管理体系的部门及其负责人的职责和权限,人工智能管理体系所有过程涉及的职责和权限等。 | ||
| 12 | 7.1 | 最高管理者是否确保了人工智能管理体系的所需的资源,通过资源规划及其实现程度进行验证 | ||
| 13 | 9.3 | 是否定期进行了管理评审 | ||
| 14 | 9.3 | 能否提供管理评审计划和管理评审报告 | ||
| 15 | 10.1 | 最高管理者是否定期参加持续改进的会议 | ||
内部审核的实施包括三个过程:即首内审首次会议的召开,实施内审,内审末次会议的召开。
首次会议:内审首次会议一般在正式实施审核之前召开,一般持续时长为30分钟,由内审小组组长主持,出席人员为管理层,各部门负责人,以及内审员等,会议内容主要涉及内部审核目的,审核范围,审核依据,审核组成员以及审核安排的介绍。
实施内审:首次会议结束之后,各审核组按照计划使用相应的检查表对各部门实施审核。在审核期间,内部审核小组组长应对审核的进度进行掌控,以避免无法按照预期的时间完成审核。
末次会议:内审末次会议一般是在正式审核结束之后召开,一般持续时间也是30分钟。审核任务全部完成之后,审核小组组长应汇总各审核组的审核发现,编制内部审核报告(如表三十六),并开出不符合项报告(如表三十七),并在末次会议召开的时候,向出席会议的管理层,各部门负责人以及内审员报告内部审核报告和不符合项报告相关的内容。
末次会议结束之后,内审小组组长还需要及时跟进各责任部门对不符合项报告的改进,并对改进措施的有效性进行验证。
表三十六 内部审核报告 示例
| 年度 | 2025 | 体系标准 | ISO/IEC 42001: 2023 | |
| 审核目的 | 验证公司ISO/IEC 42001人工智能管理体系过往一年运行的符合性 | |||
| 审核范围 | 公司人工智能管理体系覆盖的所有范围 | |||
| 审核依据 | ISO/IEC 42001: 2023标准,体系文件,以及相关方要求 | |||
| 审核时间 | 2026.2.10至2026.2.11 | |||
| 首次会议 | 2026.2.10 8:00至8:30 第一会议室 | |||
| 末次会议 | 2026.2.11 17:00至17:30 第一会议室 | |||
| 审核组 | 审核组长: A组成员: B组成员: C组成员: | |||
| 一、审核概述 | ||||
| 本次内部审核的时间是2026.2.10至2026.2.11,审核涵盖了公司人工智能管理体系的全部范围,包含了管理层、运营部、客服部、开发部、人力资源部、运维部、以及采购部。审核过程中发现了9个一般不符合项,涉及安全部,运营部,开发部,运维部,人力资源部,采购部没有发现重大不符合,公司人工智能管理体系整体运行符合ISO/IEC 42001: 2023的要求。 | ||||
| 二、不符合项 | ||||
| 序号 | 不符合项描述 | 不符合程度 | 涉及部门 | 涉及条款 |
| 1 | 验证AI系统服务器供应商合作协议,发现未明确相关服务器技术要求规范,适用性声明和部门风险处置计划中的A100301控制措施没有效实施 | 一般不符合 | 采购部 | 8.1/8.3 |
| 2 | 抽查开发部(工号:069)、运维部(工号:659)员工,为了提供入职时的人工智能相关的意识培训记录 | 一般不符合 | 人力资源部 | 7.3 |
| 3 | …… | …… | …… | …… |
| 4 | …… | …… | …… | …… |
| 5 | …… | …… | …… | …… |
| 6 | …… | …… | …… | …… |
| 7 | …… | …… | …… | …… |
| 8 | …… | …… | …… | …… |
| 9 | …… | …… | …… | …… |
| 编制 | *** 2026.2.11 | 批准 | *** 2026.2.11 | |
表三十七 不符合项报告 示例
| 审核部门 | 采购部 | 审核类型 | 内部审核 |
| 审核成员 | C组 | 审核时间 | 2026.2.11 |
| 一、发现描述 | |||
| 验证AI系统服务器供应商合作协议,发现未明确相关服务器技术要求规范,适用性声明和部门风险处置计划中的A100301控制措施没有效实施,不符合ISO/IEC 42001: 2023,8.1和8.3的要求 | |||
| 严重程度:£ 严重不符合 S 一般不符合 £ 建议项 | |||
| 审核员签字 | 部门签字 | ||
| 二、原因分析 | |||
| 三、纠正措施 | |||
| 四、预防措施 | |||
| 五、验证 | |||
| 验证人 | 验证时间 | ||
