Compliance

Audyt AI w firmie — checklista 2025 dla polskiego zarządu

Audyt AI to dziś nie luksus, tylko obowiązek wynikający z EU AI Act, RODO i standardów ISO 42001. Polski zarząd potrzebuje konkretnej checklisty, którą może odhaczyć z dyrektorami HR, IT, prawnym. Mamy taki audyt z 14 polskich firm. Pełna lista kontrolna, gotowa do użycia.

⏱ 9 min czytania · 📅 25.11.2025 · 👁 508 wyświetleń

Audyt AI to procedura, którą zarząd polskiej firmy musi przeprowadzać systematycznie — nie tylko dla compliance z EU AI Act (wchodzącym 2 sierpnia 2026), ale dla własnego bezpieczeństwa biznesowego. Mamy za sobą 14 audytów u polskich klientów z różnych branż. Ten artykuł to pełna checklista, gotowa do użycia. Bez teorii — operacyjny dokument.

Po co audyt AI

  • Compliance EU AI Act — wymagane od 2 sierpnia 2026.
  • RODO — przetwarzanie danych osobowych przez AI to processing wymagający dokumentacji.
  • Tajemnica zawodowa (prawnicy, lekarze, księgowi) — dane wrażliwe nie mogą przeciekać do publicznych modeli.
  • Ryzyko reputacyjne — halucynacja AI w komunikacji z klientem = problem PR.
  • Ryzyko finansowe — błędna decyzja AI w finansach, kontraktach, HR = ryzyko prawne.
  • ISO 42001 — pojawiający się standard dla AI management systems.

Audyt w 6 obszarach

1. Inwentaryzacja systemów AI

  • Spis wszystkich punktów AI w firmie (oczywistych i zaszytych w narzędziach typu Copilot).
  • Klasyfikacja: provider / deployer / user.
  • Kategoria ryzyka wg EU AI Act: minimal / limited / high / unacceptable.
  • Owner po stronie firmy (kto odpowiada).
  • Vendor i wersja modelu.
  • Data wprowadzenia, data ostatniej oceny.

2. Bezpieczeństwo danych

  • Gdzie wysyłane są prompty (EU / US / inny region)?
  • Czy dane są używane do trenowania modeli? (powinno być WYŁĄCZONE).
  • Czy są SCC / decyzja adekwatności dla transferu danych?
  • Czy dane wrażliwe (zdrowie, finansowe, dzieci) są pseudonimizowane przed wysłaniem?
  • Czy są retention policies dla logów promptów?
  • Czy klucze API są w secure vault, nie w kodzie?

3. Jakość i nadzór

  • Jak mierzona jest jakość outputu? (accuracy, hallucination rate, NPS)
  • Czy są evaluation suites uruchamiane okresowo?
  • Czy działa human-in-the-loop dla krytycznych decyzji?
  • Czy są procedury eskalacji błędów AI?
  • Kto reviewuje decyzje AI — i jak często?

4. Transparentność i etyka

  • Czy klienci wiedzą, że pracuje z nimi AI? (chatboty, automatyczne odpowiedzi)
  • Czy treści generowane przez AI są oznaczane?
  • Czy AI nie podejmuje decyzji w pełni autonomicznych w obszarach high-risk?
  • Czy testowane są bias-y w wynikach (płeć, wiek, narodowość)?
  • Czy jest polityka AI w firmie i jest podpisana przez pracowników?

5. Compliance prawny

  • RODO: rejestr czynności przetwarzania zaktualizowany?
  • DPIA dla high-risk AI: wykonana, podpisana?
  • EU AI Act: FRIA gotowa do sierpnia 2026 dla high-risk?
  • Sektorowe (KNF dla finansów, MZ dla zdrowia): adekwatne procedury?
  • Klauzule w umowach z dostawcami AI: odpowiedzialność, indemnification?
  • Klauzule w umowach z klientami: AI w usłudze ujawnione?

6. Zespół i kompetencje

  • AI Officer wyznaczony (może być part-time)?
  • Szkolenia AI literacy dla pracowników (wymóg Article 4 AI Act)?
  • Procedury onboardingu nowych pracowników w temacie AI?
  • Kanał zgłaszania problemów / incydentów AI?
  • Reaction plan dla awarii / błędu krytycznego AI?

Tabela ryzyk z 14 audytów

ObszarŚredni score (1-5)Najczęstszy problem
Inwentaryzacja2,4Brak spisu, AI w "shadow IT"
Bezpieczeństwo danych3,1Brak pseudonimizacji
Jakość i nadzór2,8Brak evaluation suites
Transparentność2,2Klienci nie wiedzą
Compliance prawny3,3FRIA niezrealizowana
Zespół i kompetencje2,1Brak AI Officera

Praktyczne wskazówki przeprowadzenia audytu

  1. Zacznij od inwentaryzacji — bez tego nic nie ma sensu. Spytaj WSZYSTKICH działów.
  2. Spotkania 1:1 z owner-ami systemów AI — nie ankiety mailowe.
  3. Zewnętrzny audytor dla większej firmy (50+) — wewnętrznie często umyka shadow IT.
  4. Wynik = action plan, nie raport do szuflady. Każde "red" = ticket z owner i deadline.
  5. Powtórka co 6 miesięcy — branża zmienia się szybko.

Koszty audytu

  • Wewnętrzny (samodzielny) — 2-4 tyg. pracy AI Officera lub odpowiedzialnej osoby.
  • Zewnętrzny dla firmy 50 osób — 18-35 tys. zł (jednorazowo).
  • Zewnętrzny dla firmy 200 osób — 40-80 tys. zł (jednorazowo).
  • Powtórka po 6 mies. — zwykle 40-60% kosztu pierwszego.

Lessons learned z 14 audytów

  • Średnia firma 50-osobowa ma 14-22 punkty AI. Spisy ujawniają 2x więcej niż zarząd myślał.
  • Shadow AI to realny problem — pracownicy używają ChatGPT z kontami osobistymi do firmowych danych.
  • Brak pisemnej polityki AI = brak podstawy do egzekwowania zasad.
  • Klienci coraz częściej pytają o AI w usługach — być przygotowanym z odpowiedzią.
  • EU AI Act gotowy plan to dziś przewaga sprzedażowa B2B.

Podsumowanie

Audyt AI w 2025 to nie biurokracja, to higiena. Bez tego firma 5-200 osób idzie do sierpnia 2026 z opuszczonymi spodniami. Mamy gotową checklistę dla branż: kancelarie, biura księgowe, e-commerce, produkcja, SaaS. Pokażemy wam scenariusz audytu dla waszej firmy — 60 minut i wiecie, na czym stoicie.

Chcesz przetestować, jak AI rozwiąże to u Ciebie?

30 minut rozmowy + pokaz działającego wdrożenia u klienta. Bez NDA.

Umów demo

Może Cię też zainteresować

⚖️
Compliance

EU AI Act — 2 sierpnia 2026. Co polska firma musi zrobić TERAZ
🔐
Compliance

RODO, NIS2 i KSC a AI w firmie — checklista compliance 2026
📋
Compliance

Rejestr systemów AI w firmie — szablon i jak prowadzić
Newsletter redai

Dostawaj kolejne wpisy do skrzynki

Co dwa tygodnie: nowy case, nowe moduły AI, błędy klientów. Bez spamu.