おはようございます!マネジメントオフィスいまむらの今村敦剛です。
ISO42001各箇条解説シリーズ、今回は箇条9.2「内部監査」について解説をします。AIマネジメントシステムではどのように内部監査をして改善につなげていくべきかを、具体的に解説します。
動画でも解説しています(無料・登録不要)
ISO42001 箇条9.2の位置づけ
まず今日説明する箇条9.2の位置づけについて解説しましょう。
箇条9.2は「パフォーマンス評価」に位置づけられています。「内部監査」は、ルール通りに運用できているかを、証拠を元に人が確認する「点検」のようなイメージです。
AIマネジメントシステムにおける内部監査とは
要求事項の解説の前に、AIマネジメントシステムではどういう内部監査になるか、ざっくりしたイメージをもっていただきたいと思います。
AI搭載の画像検査装置を作っている会社の内部監査を例に説明しましょう。この会社は、製品をカメラで撮って、AIがキズや欠けを見つける装置を作っている会社です。もし不良品を良品だとAIが判断してしまうような場合は、まずいですよね。そこで内部監査では、開発中に誤判断があったときに、止めたり原因を調べたりする手順(ルール)がどうなっていて、実際に誤判断があったときにそのルール通りに対処していたか、といったことを、証拠(例えばログや処置記録)などを見て確認をします。
ISO42001 箇条9.2の要求事項
箇条9.2の要求事項は、全部で5つあります。
最初の要求事項です。ここでは「内部監査をあらかじめ定めた間隔で実施しなさい」と言っています。思いつきでやるのではなく、例えば毎年8月などといった、計画的なタイミングで行います。何のために内部監査を行うのか?ということも、規格に書かれています。
内部監査の目的は2つあって、ひとつ目は「適合性」の確認です。これは、ルールを守れているか、というチェックです。ここでいうルールには2種類あって、ひとつは私たちが自分で決めたAIポリシーや手順書のように、自分たちで守ると決めたルールです。もう一つは「この規格の要求事項」。つまり、ISO 42001のルールですね。この両方に適合しているかを確認するのが、内部監査の目的の1つ目です。
2つ目は「有効性」の確認です。AIマネジメントシステムが「狙い通りの効果をあげているか」を見ます。単に形だけルールを守るのではなく、そのルールが実際にAIのリスクを減らしたり、品質を上げたりするのに役立っているか、という視点ですね。
次の要求事項は、「監査プログラムの計画・確立・実施・維持」です。「監査プログラム」というのは、個別の監査スケジュールのことではなく、「誰が・何を・どの方法で・どの頻度で監査し・どう報告するか」といった、年間、もしくは中長期まで含んだ監査全体の設計図のようなものです。具体的には、頻度だけでなく、監査はどのようにやるのか、責任者は誰か、事前準備はどうするのか、そして報告もどうやるのかまで決めます。
3つめの要求事項は、「プロセスの重要性及び前回までの監査の結果を考慮する」という点です。全部署を年1回一律にやる必要はありません。例えば「AI開発部門」のようなリスクが高い重要な部署や、前回トラブルが多かった部署は、監査の頻度を増やしたり時間をかけたりと、メリハリをつけることが求められます。
4つめは、個別の監査を行う際の具体的なルールです。組織は次の3つのポイントを行わなければなりません。
最初のポイントは 「監査ごとの目的・基準・範囲を定めること」です。ここでのポイントは「監査目的」です。例えば、「今回の監査目的は、“AIリスクアセスメントが手順通り実施され、記録が揃っているかを確認する”ことである」といったように、その監査で何を確かめたいかを明確にします。その上で、どの部署を(範囲)、何の手順書や規程、あるいは規格要求に基づいて(基準)見るかを決めます。
次のポイントは 「監査員を選定し、客観性と公平性を確保すること」です。ISOの内部監査では、自分の仕事を自分で監査してはいけません。別の部署の人に監査をお願いするなど、客観的で公平なチェックができる体制を作る必要があります。
3つ目のポイントは 「監査結果を関連する管理者に報告すること」。監査の結果は、トップマネジメントや監査対象となった部門の責任者など、「関連する管理者」に報告する必要があります。現場の責任者が改善に動けるようにするためですね。
そして最後の要求事項は「文書化」です。
規格では、「監査プログラムを実施した証拠」と「監査結果」の両方を文書化して残すことが求められています。監査の年間計画や実施記録、そして発見された課題をまとめた監査報告書などが、後でしっかり示せる利用可能な状態にしておきましょう。
まとめ
はい、というわけで、ISO42001箇条9.2「内部監査」について解説をしましたがいかがだったでしょうか。今日の解説を一言でまとめると、「ルールが守られ、役に立っているかを、公平・計画的にチェックし、関係者に報告する」ということでした。
内部監査は、外部審査の「予行演習」でもありますし、自主的に改善するためチャンスであるのはもちろん、外部審査の「予行演習」にもなり得ます。ぜひ有効に活用してください。