Audyt zgodności z AI Act to uporządkowane sprawdzenie, czy organizacja wie, gdzie używa sztucznej inteligencji, czy spełnia obowiązki rozporządzenia i czy potrafi to udowodnić. Najlepiej przeprowadzić go samodzielnie - zanim zrobi to organ nadzoru, klient w przetargu albo audytor korporacyjny kontrahenta.

Poniżej praktyczny przewodnik: siedem kroków, konkretne pytania kontrolne i lista dowodów, które audyt powinien zostawić po sobie.

Kiedy audyt ma sens?

Od 2 sierpnia 2026 r. AI Act stosuje się w pełni i organizacje muszą być w stanie wykazać zgodność. Część obowiązków działa już wcześniej: zakazy i AI literacy od 2 lutego 2025 r., obowiązki dla modeli ogólnego przeznaczenia od 2 sierpnia 2025 r. Audyt warto więc zrobić teraz - każda wykryta luka to lista zadań do domknięcia, a nie ryzyko kary. Pełne terminy i sankcje zebraliśmy na stronie Zgodność z AI Act i w przewodniku po karach AI Act.

Krok 1: Inwentaryzacja - czy wiemy, czego używamy?

Audyt zaczyna się od pytania najprostszego i najczęściej bolesnego: jakich narzędzi i systemów AI faktycznie używa organizacja?

Pytania kontrolne: Czy istnieje rejestr systemów AI? Czy obejmuje narzędzia używane nieformalnie (shadow AI)? Czy każdy wpis ma właściciela, cel użycia, kategorie danych i status akceptacji? Kiedy rejestr był ostatnio przeglądany?

Jeśli rejestru nie ma - audyt w praktyce zatrzymuje się tutaj. Bez inwentaryzacji nie da się rzetelnie odpowiedzieć na żadne kolejne pytanie.

Krok 2: Praktyki zakazane - czy nie robimy czegoś z art. 5?

Przejdź przez katalog praktyk niedopuszczalnych: manipulacja podprogowa, wykorzystywanie słabości osób, scoring społeczny, rozpoznawanie emocji w miejscu pracy i edukacji, nieukierunkowane budowanie baz wizerunków. Pytania kontrolne: Czy któreś z używanych narzędzi analizuje zachowania lub emocje ludzi? Czy działy HR, sprzedaży i marketingu wiedzą, że te zastosowania są zakazane niezależnie od tego, jak kusząco wyglądają w ofercie dostawcy?

Krok 3: Klasyfikacja ryzyka - czy mamy systemy wysokiego ryzyka?

Sprawdź zastosowania z załącznika III AI Act: rekrutacja i zarządzanie pracownikami, ocena zdolności kredytowej, edukacja, dostęp do usług podstawowych, infrastruktura krytyczna. Pytania kontrolne: Czy AI uczestniczy u nas w decyzjach o ludziach? Czy jako podmiot stosujący (deployer) spełniamy obowiązki z art. 26 - nadzór człowieka, stosowanie zgodnie z instrukcją dostawcy, monitorowanie? Czy dostawca dostarczył wymaganą dokumentację?

Przy tej okazji zweryfikuj samych dostawców - pytania, które warto im zadać, zebraliśmy w artykule o zgodności, danych i ryzykach po stronie dostawcy, a o ryzyku zależności od jednego dostawcy pisaliśmy w tekście o vendor risk.

Krok 4: AI literacy - czy ludzie wiedzą, co robią?

Art. 4 AI Act wymaga zapewnienia odpowiedniego poziomu kompetencji AI u osób korzystających z systemów w imieniu organizacji - i obowiązuje od lutego 2025 r.

Pytania kontrolne: Czy pracownicy przeszli szkolenie AI literacy adekwatne do ról? Czy szkolenie zakończyło się weryfikacją wiedzy (egzamin) i czy są na to certyfikaty? Czy nowi pracownicy przechodzą szkolenie w onboardingu? Czy da się wskazać, kto NIE przeszedł szkolenia?

Krok 5: Zasady - czy istnieje polityka i czy działa?

Pytania kontrolne: Czy istnieje polityka korzystania z AI? Czy zawiera listę narzędzi dopuszczonych, zasady dotyczące danych, wymogi weryfikacji wyników i ścieżkę zgłaszania nowych narzędzi? Czy pracownicy potwierdzili zapoznanie się z nią? Czy jest przeglądana i aktualizowana?

Krok 6: Przejrzystość - czy informujemy tam, gdzie trzeba?

Art. 50 AI Act wymaga m.in. informowania ludzi, że rozmawiają z systemem AI, oraz oznaczania niektórych treści generowanych. Pytania kontrolne: Czy chatboty i voiceboty informują, że są AI? Czy deepfake'i i treści syntetyczne są oznaczane? Czy komunikacja marketingowa tworzona z pomocą AI spełnia przyjęte w firmie zasady oznaczania?

Krok 7: Dowody - czy umiemy to wszystko wykazać?

Najważniejszy krok audytu. Zgodność, której nie da się udowodnić, w praktyce nie istnieje. Po audycie organizacja powinna dysponować kompletem:

  • rejestr systemów AI z historią zmian i datami przeglądów;
  • polityka AI z potwierdzeniami zapoznania się;
  • certyfikaty szkoleń AI literacy dla pracowników;
  • decyzje o dopuszczeniu/zakazie narzędzi z podpisem osoby odpowiedzialnej;
  • dokumentacja klasyfikacji ryzyka i ocen dostawców;
  • raport z audytu z listą luk i planem naprawczym.

Ten zestaw robi różnicę w każdej sytuacji stresowej: kontroli organu, incydencie, pytaniu klienta w przetargu, negocjacji umowy. A przy wymierzaniu ewentualnej kary organ bierze pod uwagę wdrożone środki zapobiegawcze i staranność organizacji.

Audyt samodzielnie czy z narzędziem?

Siedem kroków powyżej można przejść ręcznie - arkuszami i ankietami. Wyzwanie polega na tym, że audyt nie jest jednorazowy: narzędzia się zmieniają, ludzie dochodzą, dostawcy zmieniają warunki. Dlatego sensowniejsze jest osadzenie audytu w systemie, który utrzymuje rejestr, polityki, szkolenia i dowody na bieżąco.

Dokładnie tak działa platforma AI TrustCERT: moduły odpowiadają krokom audytu (rejestr → zasady → szkolenia → dowody → raport gotowości), a wdrożenie zajmuje 1-7 dni. Na start wystarczy bezpłatny AI Ready Check - wstępny audyt gotowości w 3 minuty, który pokazuje, które obszary wymagają działania w pierwszej kolejności.

Podsumowanie

Audyt zgodności z AI Act to siedem pytań: czego używamy, czy nie robimy rzeczy zakazanych, czy mamy systemy wysokiego ryzyka, czy ludzie są przeszkoleni, czy mamy zasady, czy jesteśmy przejrzyści i czy umiemy to udowodnić.

Organizacja, która przejdzie te kroki przed 2 sierpnia 2026 r., zamienia ryzyko kar na listę zadań do wykonania. Organizacja, która tego nie zrobi, odda inicjatywę - organowi nadzoru, klientom albo przypadkowi.

Lepiej audytować się samemu, niż zostać zaudytowanym.

Źródła

  1. Rozporządzenie (UE) 2024/1689 (AI Act) - art. 4 (AI literacy), art. 5 (praktyki zakazane), art. 26 (obowiązki deployerów), art. 50 (przejrzystość), art. 99 (kary), załącznik III (systemy wysokiego ryzyka), art. 113 (terminy): eur-lex.europa.eu
  2. Komisja Europejska - ramy regulacyjne AI i harmonogram stosowania AI Act: digital-strategy.ec.europa.eu
  3. Komisja Europejska - AI Literacy - Questions & Answers: digital-strategy.ec.europa.eu