Meteen naar de inhoud
Phishing om problemen te veroorzaken –
De IO Podcast keert terug voor seizoen 2. Luister nu
ISMS.online

Checklist voor AI-audits: een praktische handleiding voor het auditeren van AI-systemen

Een praktische checklist voor AI-audits, afgestemd op ISO 42001 clausule 9.2 en bijlage A. Met sjablonen voor scope, bewijsmateriaalverzoeken, testprocedures en bevindingen die u vandaag nog kunt doorlopen ter voorbereiding op certificerings- of surveillance-audits.

Voer uw AI-audit uit in ISMS.online.

Demo boeken
Auteur
Max Edwards
Bijgewerkt mei 8, 2026
4 / 5 sterren

Wat is een AI-audit?

Een AI-audit is een systematische, onafhankelijke en gedocumenteerde beoordeling van de manier waarop een organisatie AI-systemen beheert, ontwikkelt, implementeert en gebruikt. In de context van ISO 42001 Het is het mechanisme waarmee u controleert of uw AI-managementsysteem (AIMS) voldoet aan de standaard, aan uw eigen gedocumenteerde eisen en dat het effectief is geïmplementeerd en onderhouden.

Audits van AI verschillen op drie belangrijke punten van traditionele informatiebeveiligingsaudits. Ten eerste omvatten ze AI-specifieke documenten die niet in een ISO 27001-programma voorkomen, zoals impactanalyses van AI-systemen, modelkaarten, documenten over de herkomst van trainingsgegevens en validatierapporten over de levenscyclus. Ten tweede beoordelen ze ethische en maatschappelijke overwegingen, waaronder eerlijkheid, transparantie en verantwoording, en niet alleen vertrouwelijkheid, integriteit en beschikbaarheid. Ten derde volgen ze de levenscyclus van individuele AI-systemen, van het vaststellen van de doelstellingen tot de uitfasering, in plaats van statische controles geïsoleerd te auditeren.

Een AI-audit kan intern (eerste partij), gericht op leveranciers (tweede partij) of certificering of toezicht (derde partij, uitgevoerd door een geaccrediteerde instantie) zijn. Deze pagina richt zich op de interne audit, omdat de meeste teams daar dagelijks mee te maken hebben en een gestructureerde checklist daar de meeste waarde toevoegt. Voor een bredere context over de auditcyclus, zie onze handleiding voor de ISO 42001-audit proces.

Waarom een ​​checklist voor AI-audits gebruiken?

Een audit van een AI-managementsysteem uitvoeren zonder checklist leidt ertoe dat bevindingen over het hoofd worden gezien, bewijsmateriaal verloren gaat en managementreviews uitmonden in discussies over de reikwijdte. Een praktische checklist biedt u vier belangrijke punten:

  • Consistente reikwijdte. Elke audit omvat dezelfde gebieden in dezelfde volgorde, waardoor een vergelijking van jaar tot jaar zinvol is en toezichthouders een volwaardig programma kunnen beoordelen.
  • Verdedigbaar bewijsmateriaal. Voor elk controlegebied weet u van tevoren welk bewijsmateriaal u moet opvragen. Dit betekent dat de gecontroleerden zich kunnen voorbereiden en u uw tijd kunt besteden aan het beoordelen in plaats van aan het navragen van bewijsmateriaal.
  • Reproduceerbare testprocedures. Een rondgang, een inspectie van het bewijsmateriaal en een steekproefsgewijze test leveren resultaten op die een andere auditor kan reproduceren. Dat is wat een externe auditor verwacht te zien.
  • Duidelijke criteria voor slagen of zakken. Zonder criteria worden bevindingen meningen. Een checklist maakt van elk item een ​​ja- of nee-vraag, onderbouwd met bewijs.

De checklist in deze handleiding is afgestemd op de interne auditvereisten in clausule 9.2 en doorloopt de negen punten. Bijlage A-controles gebieden (A.2 tot en met A.10). Het is ontworpen om te worden afgedrukt, doorgewerkt en aan het auditrapport te worden toegevoegd als bewijs dat de audit is gepland en uitgevoerd binnen een vastgestelde scope.

Hoe definieert ISO 42001 de eisen voor interne audits?

Clausule 9.2 van ISO 42001 vereist dat organisaties op geplande intervallen interne audits uitvoeren om informatie te verkrijgen over de vraag of het AIMS voldoet aan zowel de eigen eisen van de organisatie als de eisen van de norm, en of het effectief wordt geïmplementeerd en onderhouden. Die formulering is belangrijk. Auditors controleren niet alleen of er beleidsmaatregelen bestaan. Ze controleren of het managementsysteem in de praktijk werkt.

De clausule vereist tevens dat u:

  • Een auditprogramma plannen, opzetten, implementeren en onderhouden, inclusief frequentie, methoden, verantwoordelijkheden, planningsvereisten en rapportage.
  • Definieer de auditcriteria en de reikwijdte voor elke audit.
  • Selecteer auditors en voer audits uit om objectiviteit en onpartijdigheid te waarborgen.
  • Rapporteer de resultaten van de audits aan het relevante management.
  • Bewaar de gedocumenteerde informatie als bewijs van het auditprogramma en de resultaten ervan.

De normatieve implementatierichtlijnen in Richtlijnen voor bijlage B Dit wordt verder uitgewerkt. Wanneer je clausule 9.2 combineert met de controlegebieden van bijlage A, krijg je de structuur van de onderstaande checklist.

Alles wat u nodig hebt voor ISO 42001, op ISMS.online

Alles wat u nodig heeft voor ISO 42001

Gestructureerde inhoud, in kaart gebrachte risico's en ingebouwde workflows helpen u AI op verantwoorde wijze en met vertrouwen te beheren.

Start

Checklist voor AI-audits: de 9 aandachtspunten

Bijlage A van ISO 42001 is onderverdeeld in negen controlegebieden. De onderstaande tabel geeft een overzicht van de checklistitems, het typische bewijsmateriaal en de testprocedures voor elk gebied. Gebruik deze tabel als basis voor uw interne audit. Voor elke rij geldt dat het criterium voor goedkeuring is dat het bewijsmateriaal beschikbaar, actueel, goedgekeurd en consistent is met de beoogde controle.

Bijlage A-gebied Checklist-items Typisch bewijs Test procedure
A.2 Beleid met betrekking tot AI Er bestaat een AI-beleid dat is goedgekeurd; het is afgestemd op het organisatiebeleid; het wordt periodiek herzien; het wordt aan het personeel gecommuniceerd; en het omvat doelstellingen voor verantwoorde AI. Goedgekeurd AI-beleid, beoordelingslogboek, communicatieverslagen, register van bevestigingen of verklaringen Doorloop met de beleidsverantwoordelijke, inspectie van de goedkeurings- en beoordelingsgeschiedenis, voorbeeldverklaringen van verschillende rollen
A.3 Interne organisatie Rollen en verantwoordelijkheden met betrekking tot AI zijn gedocumenteerd en toegewezen; rapportagelijnen voor AI-gerelateerde kwesties zijn gedefinieerd; het governanceforum komt bijeen en er worden notulen gemaakt. Organigram, RACI-matrix voor AI-beslissingen, taakomschrijving voor AI-governanceforum, notulen van vergaderingen, logboek met meldingen van problemen Interview met de AI-governanceverantwoordelijke, bekijk notulen van vergaderingen van de afgelopen 12 maanden en volg een gemeld probleem van begin tot eind.
A.4 Bronnen voor AI-systemen De benodigde middelen voor AI-systemen worden geïdentificeerd en gedocumenteerd (data, tools, computerkracht, menselijke expertise); de geschiktheid wordt beoordeeld; de documentatie wordt actueel gehouden. Resource register, competentiegegevens, inventaris van gereedschap en computers, output van de resource-adequaatheidsbeoordeling Selecteer één AI-systeem, achterhaal de bijbehorende documentatie, controleer of er competentiegegevens bestaan ​​voor de belangrijkste rollen en bevestig het bewijsmateriaal uit de beoordeling.
A.5 Het beoordelen van de impact van AI-systemen Het proces voor impactbeoordeling is gedefinieerd; het wordt toegepast op elk AI-systeem dat binnen het toepassingsgebied valt; het omvat individuen, groepen en de maatschappij; het wordt gedocumenteerd en beoordeeld. Register van impactbeoordelingen van AI-systemen, voltooide beoordelingen, beoordelings- en goedkeuringsverslagen, bewijs van actie met betrekking tot materiële impacten. Selecteer twee AI-systemen, inspecteer hun voltooide impactbeoordelingen, bevestig dat de reikwijdte de maatschappelijke impact omvat en traceer alle acties tot de uiteindelijke afhandeling.
A.6 Levenscyclus van een AI-systeem Doelstellingen, ontwerp, ontwikkeling, verificatie, validatie, implementatie, werking, monitoring en uitfasering: controlemechanismen aanwezig; bewijsmateriaal vastgelegd in elke fase. Levenscyclusdocumentatie, ontwerpdocumenten, testplannen, validatierapporten, implementatiegoedkeuringen, monitoringlogboeken, uitfaseringsdocumenten Kies één AI-systeem en doorloop de volledige levenscyclus, waarbij u in elke fase het bewijsmateriaal onderzoekt; bevestig dat de validatie onafhankelijk van de ontwikkeling plaatsvond.
A.7 Gegevens voor AI-systemen Gegevensverwerving, -kwaliteit, -voorbereiding en herkomstcontroles zijn gedefinieerd en toegepast; gegevensbronnen zijn gedocumenteerd; de kwaliteit is gemeten; de herkomst is bewaard. Inventarisatie van gegevensbronnen, kwaliteitscriteria, gegevensvoorbereiding, documentatie over de herkomst, gegevens over de wettelijke grondslag waar relevant Selecteer een trainingsdataset voor een van de systemen die binnen het toepassingsgebied vallen, controleer de herkomst, verifieer of kwaliteitscontroles zijn uitgevoerd en gedocumenteerd.
A.8 Informatie voor geïnteresseerden Systeemdocumentatie beschikbaar gesteld aan gebruikers; externe meldingsmechanismen gedefinieerd; incidentcommunicatieplannen aanwezig. Gebruikersdocumentatie, release notes, externe rapportagedocumenten, sjablonen voor incidentcommunicatie en logboeken. Controleer de gebruikersdocumentatie voor één geïmplementeerd systeem, neem een ​​steekproef van alle incidentcommunicatie en verifieer of aan de externe rapportageverplichtingen is voldaan.
A.9 Gebruik van AI-systemen Processen voor verantwoord gebruik gedefinieerd; beoogd gebruik gedocumenteerd; doelstellingen voor gebruik geëvalueerd; gebruik buiten de scope voorkomen of gedetecteerd. Gebruiksscenarioregister, beschrijvingen van beoogd gebruik, beleid voor aanvaardbaar gebruik, monitoringsverslagen, evaluatie-uitkomsten Geef twee gebruiksscenario's weer, vergelijk het daadwerkelijke gebruik met het beoogde gebruik, inspecteer de monitoring en beoordeel het bewijsmateriaal.
A.10 Relaties met derden en klanten Leveranciers van AI-systemen en -componenten beoordeeld; verantwoordelijkheden tussen partijen toegewezen; klantverplichtingen vastgelegd Leveranciersregister met AI-specifieke due diligence, contracten, matrix voor verantwoordelijkheidsverdeling, documentatie van klantgerichte verplichtingen Selecteer twee AI-leveranciers, inspecteer de due diligence-documenten en contracten, en controleer of de verantwoordelijkheden duidelijk schriftelijk zijn vastgelegd.

A.2 Beleid met betrekking tot AI

Begin bovenaan. Controleer of er een AI-beleid bestaat, of dit op het juiste niveau is goedgekeurd, of het volgens een vast schema wordt herzien en of het door medewerkers in de relevante functies wordt gecommuniceerd en erkend. Het beleid moet richting geven aan de implementatie van AI. verantwoordelijke AI en moet consistent zijn met andere organisatorische beleidsregels, met name op het gebied van informatiebeveiliging en gegevensbescherming. Bevindingen hier hebben vaak betrekking op te late evaluaties, onvolledige ontvangstbevestigingen of het feit dat het beleid zwijgt over een belangrijk aspect zoals... AI van derden gereedschap.

A.3 Interne organisatie

Audit de bestuursstructuur. Wie is verantwoordelijk voor beslissingen over AI? Waar worden AI-gerelateerde problemen gemeld en hoe worden ze afgehandeld? Is er een bestuursforum met duidelijke taken en bevoegdheden en een quorum? Neem de notulen van vergaderingen door om de inhoud te beoordelen, niet alleen de aanwezigheid. Een veelvoorkomende bevinding is een goed gevulde RACI-matrix die niet wordt weerspiegeld in de daadwerkelijke besluitvorming. Dit is eenvoudig te achterhalen door een daadwerkelijke beslissing van begin tot eind te traceren.

A.4 Bronnen voor AI-systemen

Bevestig dat de benodigde middelen voor de ontwikkeling, werking en het beheer van AI-systemen zijn geïdentificeerd, gedocumenteerd en toereikend. Middelen omvatten data, tools, computerinfrastructuur en menselijke expertise. Het competentie-element is vaak het zwakste punt. Zoek naar functiespecifieke competentiecriteria en bewijs dat mensen in die functies daaraan voldoen, in plaats van algemene trainingsverslagen.

A.5 Het beoordelen van de impact van AI-systemen

Impactbeoordelingen van AI-systemen zijn een van de bepalende kenmerken van ISO 42001 en een regelmatige bron van bevindingen. De beoordeling moet de impact op individuen, groepen en de maatschappij omvatten en moet vóór de implementatie worden voltooid en bij elke wijziging worden herzien. Zie onze uitgebreidere handleiding over dit onderwerp. AI-impactbeoordelingen Voor praktische voorbeelden. Neem twee AI-systemen die binnen het toepassingsgebied vallen en volg de volledige impactbeoordeling tot aan goedkeuring en afronding van de actie.

A.6 Levenscyclus van een AI-systeem

Dit is het grootste controlegebied en beloont een volledige levenscyclusanalyse. Kies een AI-systeem in productie en volg het vanaf het vaststellen van de doelstellingen tot en met ontwerp, ontwikkeling, verificatie, validatie, implementatie, gebruik, monitoring en uitfasering. De cruciale test is of de validatie onafhankelijk van de ontwikkeling is verlopen en of de monitoring afwijkingen, incidenten of gebruik buiten de scope heeft gedetecteerd. Levenscyclus van een AI-systeem Deze handleiding bevat de volledige lijst met bedieningselementen.

A.7 Gegevens voor AI-systemen

Data is de basis voor het succes of falen van AI-systemen. Controleer de verwerving, kwaliteit, voorbereiding en herkomst van de data. Neem een ​​steekproef van een trainingsdataset en verifieer of de bronnen, licenties, kwaliteitscontroles en wettelijke grondslag (indien persoonsgegevens betrokken zijn) gedocumenteerd zijn. Verwacht problemen met de herkomst van data bij oudere systemen en met het feit dat de meting van de datakwaliteit informeel in plaats van vastgelegd is.

A.8 Informatie voor geïnteresseerden

Zorg ervoor dat gebruikers, klanten, toezichthouders en andere belanghebbenden de informatie ontvangen die ze nodig hebben. Dit omvat systeemdocumentatie bij de implementatie, incidentcommunicatie en eventuele externe rapportageverplichtingen. Neem een ​​recent incident of een belangrijke wijziging als voorbeeld en analyseer de daaropvolgende communicatie.

A.9 Gebruik van AI-systemen

Het beoogde gebruik van elk AI-systeem moet worden gedocumenteerd en het daadwerkelijke gebruik moet daaraan worden getoetst. Zowel organisaties die alleen AI ontwikkelen als organisaties die alleen AI van derden implementeren, hebben deze controle nodig. Neem twee gebruiksscenario's als voorbeeld, vergelijk het daadwerkelijke gebruik met het beoogde gebruik en inspecteer de monitoring die afwijkingen detecteert.

A.10 Relaties met derden en klanten

Controleer hoe AI-leveranciers worden beoordeeld, hoe de verantwoordelijkheden tussen u en hen zijn verdeeld en hoe de verplichtingen van de klant zijn vastgelegd. Controleer specifiek voor leveranciers van basismodellen en AI API-leveranciers of de due diligence de herkomst van het model, evaluatiegegevens en de afspraken over incidentmeldingen heeft vastgelegd. Bevindingen op dit gebied hebben vaak betrekking op contracten die dateren van vóór het AI-programma en niet zijn bijgewerkt om de toegewezen verantwoordelijkheden weer te geven.

ISO 42001 AI-auditchecklist die alle negen controlegebieden van Bijlage A omvat, van A.2 Beleid tot A.10 Derden, met de focus van de audit voor elk gebied tijdens een interne audit volgens Clausule 9.2.

Welk bewijsmateriaal moet je verzamelen tijdens een AI-audit?

Bewijsmateriaal is wat een mening in een bevinding verandert. Verzamel voor elk checklistitem ten minste één van de volgende documenten en voeg deze toe aan de auditwerkdocumenten:

  • Gedocumenteerd bewijs. Beleid, procedures, registers, beoordelingsverslagen, notulen van vergaderingen, goedkeuringsverslagen en trainingsverslagen.
  • Door het systeem gegenereerd bewijs. Toegangslogboeken, monitoringuitvoer, dashboards voor modelprestaties, waarschuwingen voor afwijkingen en incidenttickets.
  • Aantekeningen van het interview. Doorloopsessies met beheerders van beheertools, leden van het governanceforum, datawetenschappers en productmanagers, waarbij de datum, deelnemers en belangrijkste punten worden vastgelegd.
  • Observatiebewijs. Screenshots, schermopnamen of geannoteerde fragmenten die de werking van de controle laten zien, zoals een goedkeuringsworkflow die een niet-goedgekeurde wijziging afwijst.
  • Testresultaten van een voorbeeld. Als u een steekproef hebt genomen (bijvoorbeeld tien impactbeoordelingen van AI-systemen van de vijftien die er zijn), noteer dan de steekproefomvang, de selectiemethode en de uitslag (geslaagd of niet geslaagd) per item.

Koppel elk bewijsstuk terug aan de controle die het ondersteunt en aan de auditbevinding (of het ontbreken daarvan) die eraan ten grondslag ligt. Deze traceerbaarheid is precies wat een externe auditor in uw administratie wil zien en is een van de meest voorkomende fouten bij audits op papier. Voor een volledig overzicht van wat de norm schriftelijk vereist, raadpleegt u onze handleiding. documentatie vereist volgens ISO 42001.

Het krachtige dashboard van ISMS.online

Start uw gratis proefperiode

Wil je verkennen?

Meld u vandaag nog aan voor uw gratis proefperiode en maak kennis met alle compliance-functies die ISMS.online te bieden heeft

Start

Hoe documenteer je bevindingen en corrigerende maatregelen?

Een bevinding is een gedocumenteerde feitelijke verklaring, ondersteund door bewijsmateriaal, die wordt getoetst aan een criterium. Goede bevindingen bestaan ​​uit vier onderdelen: de conditie (wat werd waargenomen), het criterium (wat werd vereist, bijvoorbeeld de clausule of controle), de oorzaak (waarom het gebeurde) en het gevolg (wat het betekent voor de AIMS). Bevindingen worden vervolgens geclassificeerd, doorgaans als:

  • Ernstige afwijking. Een volledige mislukking van een vereiste controle, of meerdere gerelateerde kleine afwijkingen die wijzen op een systemisch probleem. Deze zullen de certificering blokkeren als ze door een externe auditor worden vastgesteld.
  • Kleine afwijking. Een enkele fout in een verder goed functionerende controle. Moet worden verholpen, maar vormt zelden op zichzelf een belemmering voor certificering.
  • Een observatie of een kans tot verbetering. Het is geen schending van de voorschriften, maar wel iets dat aangepakt moet worden voordat het een officiële bevinding wordt.

Elke afwijking moet aanleiding geven tot een corrigerende actie conform clausule 10. Dat betekent het corrigeren van de afwijking, het vaststellen van de oorzaak, het bepalen of er elders vergelijkbare problemen bestaan, het implementeren van de actie, het verifiëren van de effectiviteit en het bewaren van gedocumenteerde informatie. Registraties van corrigerende acties moeten terugverwijzen naar de auditbevinding en vooruitkijken naar eventuele updates van risico's, controles, beleid of de Verklaring van toepasbaarheid.

Een handig sjabloon voor bevindingen bevat kolommen voor: bevinding-ID, auditreferentie, bijlage A-controle of -clausule, voorwaarde, criterium, oorzaak, gevolg, classificatie, eigenaar, vervaldatum, corrigerende actie, verificatie van effectiviteit en afsluitdatum. Voeg dit toe aan uw werkdocumenten of, nog beter, aan een platform dat de registratie voor u uitvoert.

Hoe ISMS.online AI-audits vereenvoudigt

ISMS.online Biedt u de auditchecklist, de bewijsbibliotheek, het overzicht van bevindingen en de workflow voor corrigerende maatregelen op één plek, vooraf gekoppeld aan ISO 42001.

  • Voorgefabriceerd auditprogramma. Interne auditplannen afgestemd op clausule 9.2, met daarin opgenomen auditschema's, scopebepaling en toewijzing van auditors.
  • Checklist-sjablonen per onderdeel van Bijlage A. Elk item op de checklist is al gekoppeld aan de relevante beheersmaatregel, waardoor auditors hun tijd besteden aan het beoordelen in plaats van aan het schrijven van sjablonen.
  • Gekoppeld bewijsmateriaal op controleniveau. Het bewijsmateriaal dat is verzameld met betrekking tot de controles in Bijlage A is direct zichtbaar in de auditchecklist, waardoor speurwerk overbodig wordt.
  • Bevindingen en corrigerende maatregelen in één workflow. Tijdens de audit geconstateerde afwijkingen leiden automatisch tot corrigerende maatregelen met verantwoordelijken, vervaldatums, verificatiestappen en een afhandelingsvolgsysteem conform clausule 10.
  • Input voor managementevaluaties wordt automatisch gegenereerd. Auditresultaten, afwijkingen en acties worden direct opgenomen in het managementrapportagepakket van clausule 9.3.
  • Hergebruik van meerdere standaarden. Het bewijsmateriaal dat is verzameld voor interne ISO 27001-audits kan worden hergebruikt voor de relevante ISO 42001-controles, omdat alles zich op hetzelfde platform bevindt.

Het resultaat is dat een audit die anders twee weken aan spreadsheet-gedoe en e-mailafhandeling zou hebben gekost, nu als een beheerde workflow binnen één tool verloopt, waarbij het bewijsmateriaal direct beschikbaar is voor uw externe auditor.

Waarom kiezen voor ISMS.online voor AI-auditbeheer?

ISMS.online Het platform is volledig ontwikkeld voor ISO 42001, inclusief de volledige interne auditcyclus. Dit is wat u krijgt wanneer u AI-audits uitvoert op het platform:

  • Een direct bruikbare checklist voor AI-audits. Vooraf gekoppeld aan clausule 9.2 en elk controlegebied van bijlage A, zodat uw eerste audit niet begint met een leeg sjabloon.
  • Geïntegreerde bewijsbibliotheek. Beleid, risico's, effectbeoordelingen en bewijsmateriaal voor interne controles zijn gekoppeld aan de controles die ze ondersteunen, zodat auditors een item kunnen openen en het bewijsmateriaal kunnen zien.
  • Bevindingen en acties op één plek. Tijdens de audit geconstateerde afwijkingen leiden tot corrigerende maatregelen met verantwoordelijken, deadlines en controles op de effectiviteit, in overeenstemming met clausule 10.
  • Managementevaluatie gereed. Auditresultaten, afwijkingen en corrigerende maatregelen worden rechtstreeks opgenomen in het managementrapport van clausule 9.3, waardoor het verzamelen van gegevens aan het einde van het jaar overbodig wordt.
  • Gedeeld met ISO 27001. Eén enkel auditprogramma dat ISO 42001 en ISO 27001 omvat, met één set bewijsmateriaal, één risicoregister en één tool voor het opstellen van een verklaring van toepasbaarheid.
  • Methode voor gegarandeerde resultaten. Een beproefde implementatie- en auditmethode die honderden organisaties heeft geholpen om in één keer gecertificeerd te worden, met persoonlijke ondersteuning gedurende het hele proces.

Of u nu uw eerste interne audit uitvoert, zich voorbereidt op een Stage 2-certificeringsaudit of de jaarlijkse surveillance beheert, ISMS.online Dit zorgt ervoor dat het programma gestructureerd blijft en het bewijsmateriaal verdedigbaar is. Voor een bredere gereedheidscheck kunt u een gap-analyse eerst, of doorloop onze volledige Checklist voor naleving van ISO 42001.

Ben je klaar om het platform in actie te zien? Demo boeken om te zien hoe ISMS.online kan uw AI-auditprogramma ondersteunen.

Veelgestelde vragen

Wat is een checklist voor een AI-audit?

Een checklist voor AI-audits is een gestructureerde lijst met punten die een interne auditor doorneemt om te beoordelen of het AI-managementsysteem van een organisatie voldoet aan ISO 42001 en effectief is geïmplementeerd. Een goede checklist omvat de auditvereisten van clausule 9.2 en alle negen controlegebieden van bijlage A (A.2 tot en met A.10), met voor elk punt gedefinieerde bewijsverwachtingen en testprocedures, zodat de bevindingen consistent en verdedigbaar zijn.

Hoe vaak moet ik een interne AI-audit uitvoeren?

Clausule 9.2 van ISO 42001 vereist interne audits met geplande tussenpozen, zonder een specifieke frequentie voor te schrijven. In de praktijk voeren de meeste organisaties jaarlijks een volledige AIMS-audit uit, met aanvullende gerichte audits van AI-systemen of controlegebieden met een hoger risico, minstens elke zes maanden. De auditfrequentie moet gebaseerd zijn op het risico; een AI-systeem met een grote impact dat in productie is, verdient dus een frequentere controle dan een interne productiviteitstool.

Wie mag een interne ISO 42001-audit uitvoeren?

Interne auditors moeten objectief en onpartijdig zijn, wat betekent dat ze geen audits mogen uitvoeren voor de taken waarvoor ze zelf verantwoordelijk zijn. Veel organisaties maken gebruik van een combinatie van getraind intern personeel van buiten de AI-afdeling, een centraal assurance-team of een onafhankelijke derde partij die namens hen als eerstelijns auditor optreedt. Het belangrijkste is dat de auditor competent is om AI-specifieke controles te beoordelen en geen belangenconflicten heeft met betrekking tot de te auditeren gebieden.

Wat is het verschil tussen een AI-audit en een AI-impactbeoordeling?

Een impactbeoordeling van een AI-systeem (bijlage A.5) evalueert de potentiële impact van een AI-systeem op individuen, groepen en de maatschappij vóór de implementatie en tijdens de implementatie. Een AI-audit (clausule 9.2) evalueert of het beheersysteem dat AI regelt, inclusief het impactbeoordelingsproces zelf, voldoet aan de eisen en in de praktijk werkt. Een audit zal doorgaans steekproefsgewijs impactbeoordelingen als bewijsmateriaal gebruiken, maar omvat ook beleid, levenscyclusbeheer, gegevensbeheer, leveranciers en elk ander onderdeel van het AIMS.

Moet de interne audit elk AI-systeem elke keer controleren?

Nee. Het auditprogramma moet ervoor zorgen dat gedurende een vastgestelde cyclus (doorgaans één tot drie jaar) elk onderdeel van het AIMS en elk relevant AI-systeem wordt gecontroleerd, maar individuele audits kunnen beperkt blijven tot een subset. Bij de meeste organisaties worden tijdens de jaarlijkse audit AI-systemen steekproefsgewijs gecontroleerd op basis van risico en materialiteit, zodat de systemen met de grootste impact het vaakst worden gecontroleerd en systemen met een lager risico roulerend aan de beurt komen. Het auditprogramma zelf is het gedocumenteerde bewijs van dat plan.

Hoe zijn de bevindingen van AI-audits gekoppeld aan corrigerende maatregelen?

Elke afwijking die tijdens een audit wordt geconstateerd, moet aanleiding geven tot een corrigerende actie conform clausule 10. Dat betekent dat het probleem moet worden opgelost, de oorzaak moet worden vastgesteld, moet worden nagegaan of hetzelfde probleem elders voorkomt, de actie moet worden uitgevoerd, de effectiviteit moet worden gecontroleerd en de gedocumenteerde informatie moet worden bewaard. ISMS.onlineDe bevindingen die tijdens de audit naar voren komen, leiden automatisch tot corrigerende maatregelen met verantwoordelijken en deadlines, en de effectiviteit wordt tot aan de afronding gecontroleerd, zodat er niets misgaat.

Kan dezelfde audit zowel ISO 42001 als ISO 27001 omvatten?

Ja. Beide standaarden volgen de structuur op hoog niveau van Annex SL en delen clausules met betrekking tot leiderschap, planning, ondersteuning, uitvoering, evaluatie en verbetering. Annex D van ISO 42001 biedt een expliciete koppeling met ISO 27001. Een gecombineerd auditprogramma is efficiënter, voorkomt dubbele bewijsverzameling en wordt ondersteund door multi-standaardplatforms zoals ISO 42001. ISMS.online die gebruikmaken van één enkel risicoregister, bewijsbibliotheek en auditworkflow voor beide standaarden.

Max Edwards

Max werkt als onderdeel van het marketingteam van ISMS.online en zorgt ervoor dat onze website wordt bijgewerkt met nuttige inhoud en informatie over alles wat met ISO 27001, 27002 en compliance te maken heeft.

Bekijk een platformdemonstratie

Ontdek hoe meer dan 1,000 teams hun compliance-frameworks beheren tijdens een korte rondleiding van 3 minuten.

Bekijk nu
platform dashboard volledig in nieuwstaat

Wij zijn een leider in ons vakgebied

4 / 5 sterren
Gebruikers houden van ons
Leider - zomer 2026
Top performer - zomer 2026 Small Business UK
Regionaal leider - zomer 2026 EU
Regionale leider - Zomer 2026 EMEA
Regionale leider - Zomer 2026 VK
Hoogpresterend - Zomer 2026 Mid-Market EMEA

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

— Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

— Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

— Ben H.