Sztuczna inteligencja wchodzi do systemów zarządzania jakością szybciej, niż powstają metody ich audytu. Nowa wytyczna ISO 9001 Auditing Practices Group (ISO & IAF, maj 2026) pokazuje, jak rzetelnie audytować SZJ, w którym część decyzji podejmują algorytmy – bez wymyślania audytu na nowo.
Twoja organizacja używa AI w procesach jakości. Twój program audytów jeszcze tego nie widzi.
Wprowadzenie
Systemy AI trafiają dziś do procesów, które od dekad stanowią rdzeń systemu zarządzania jakością: kontroli jakości opartej na wizji komputerowej, oceny i scoringu dostawców, obsługi klienta przez chatboty, predykcyjnego utrzymania ruchu czy optymalizacji produkcji. Dla organizacji to szansa na większą efektywność, spójność i szybkość decyzji. Dla audytora – nowe źródło ryzyka, którego klasyczne mechanizmy kontroli jakości nie zawsze wychwycą.
W maju 2026 r. ISO 9001 Auditing Practices Group (APG) – wspólne ciało ISO/TC 176 i International Accreditation Forum (IAF) – opublikowała wytyczną „Auditing a Quality Management System that uses Artificial Intelligence (AI) systems” (Edycja 1, 29.05.2026). Jej teza jest zaskakująco uspokajająca: systemy AI nie wymagają ani nowych metod audytu, ani zmiany jego celów. Wymagają natomiast nowej wiedzy i rozwiniętych kompetencji po stronie audytora. AI to w istocie zaawansowane narzędzie o dużym potencjale – zarówno doskonalenia, jak i nadużycia.
Ten artykuł tłumaczy, na co audytor wiodący, audytor wewnętrzny i pełnomocnik SZJ powinni zwrócić uwagę, przygotowując i prowadząc audyt ISO 9001 w organizacji korzystającej z AI – oraz jakich dowodów oczekiwać, by potwierdzić, że sztuczna inteligencja nie podważa zdolności firmy do stałego dostarczania zgodnego wyrobu i usługi. To także pierwszy w polskojęzycznej przestrzeni ekspercki przegląd tej wytycznej, świeżo po jej publikacji.
Jak AI zmienia audyt systemu zarządzania jakością
Wytyczna APG nie zastępuje ISO 19011 ani wymagań ISO 9001 – jest praktyczną nakładką, która pokazuje, jak istniejące podejście audytowe zastosować tam, gdzie w proces wbudowano algorytm. Poniżej cztery wątki, które w praktyce decydują o jakości takiego audytu.
Gdzie AI wchodzi w procesy SZJ — mapa dla audytora
Punkt wyjścia każdego audytu to rozpoznanie, gdzie sztuczna inteligencja faktycznie działa w zakresie systemu. Wytyczna wskazuje typowe obszary jej osadzenia: projektowanie i rozwój (modele generujące warianty konstrukcji i optymalizujące parametry), ocenę dostawców (scoring i ranking na dużych zbiorach danych), interakcję z klientem (chatboty, systemy automatycznych odpowiedzi, silniki rekomendacji), predykcyjne utrzymanie ruchu, kontrolę jakości (wykrywanie wad wizją komputerową – szybciej i bardziej spójnie niż inspekcja manualna), automatyzację produkcji, optymalizację procesów, prognozowanie popytu i zarządzanie łańcuchem dostaw, a także monitorowanie zgodności z alertami o potencjalnych niezgodnościach.
Bez tej mapy audytor nie wie, gdzie szukać. Pominięcie miejsca, w którym algorytm współdecyduje o zgodności wyrobu lub o satysfakcji klienta, to najczęstszy błąd już na etapie planowania audytu.
Anatomia systemu AI oczami audytora
Aby ocenić wpływ AI na procesy, warto rozumieć, z czego taki system się składa. Zgodnie z terminologią ISO/IEC 22989 system AI to inżynierski system generujący wyniki – treści, prognozy, rekomendacje lub decyzje – dla zadanego zbioru celów zdefiniowanych przez człowieka. Na potrzeby audytu pomocne jest rozłożenie go na komponenty: jeden lub więcej modeli (uczenia maszynowego lub regułowych), dane treningowe i operacyjne, infrastrukturę wspierającą (sprzęt, platformy, magazyny danych, narzędzia monitorujące) oraz interfejs użytkownika, przez który personel korzysta z systemu i interpretuje jego wyniki.
To, co odróżnia system AI od klasycznego oprogramowania, ma bezpośrednie przełożenie na audyt. Komponenty te ewoluują w czasie i wchodzą w nieliniowe interakcje. System bywa niedeterministyczny – te same dane wejściowe nie muszą dawać identycznego wyniku, a model potrafi „dryfować” (model drift), czyli tracić trafność wraz ze zmianą rzeczywistości, na której go trenowano. Dochodzą do tego stronniczość danych (bias), zależność od jakości i integralności danych oraz kwestie etyczne, bezpieczeństwa i prywatności. W praktyce oznacza to jedno: konwencjonalne kontrole jakości mogą nie wystarczyć. System AI zwykle wymaga ciągłego monitorowania, walidacji i nadzoru (governance), aby pozostawał wiarygodny, wolny od uprzedzeń i spójny z celami SZJ.
Klauzule 4–10 ISO 9001 pod kątem AI
Sercem wytycznej jest przegląd klauzula po klauzuli. Poniżej praktyczne przełożenie na pytania, które audytor realnie zada.
Klauzula 4 – Kontekst organizacji. Czy organizacja uwzględniła użycie AI, określając czynniki wewnętrzne i zewnętrzne? Chodzi m.in. o złożoność technologiczną, zależność od zewnętrznych dostawców AI oraz dostępność i kompetencje personelu zdolnego skutecznie nadzorować system. Czy zidentyfikowano wymagania klientów wobec AI – oczekiwania co do transparentności i wyjaśnialności, dokładności wyników, zapisów umownych o nadzorze człowieka lub ograniczeniu decyzji w pełni automatycznych? I wreszcie – czy zidentyfikowano wymagania prawne i regulacyjne związane z AI, w tym dotyczące ochrony danych i bezpieczeństwa informacji oraz sektorowych regulacji AI? To właśnie tu naturalnie pojawia się unijny AI Act (por. sekcja „Kontekst regulacyjny UE”). Należy też potwierdzić, że rozpoznano strony zainteresowane, na które AI oddziałuje: pracowników poddawanych ocenie wspieranej algorytmem, dostawców ocenianych przez systemy scoringowe i klientów wchodzących w interakcję z chatbotem.
Klauzula 5 – Przywództwo. Czy najwyższe kierownictwo zapewnia zasoby do kontrolowanego użycia AI i bierze odpowiedzialność za to, że AI wspiera skuteczność SZJ oraz osiąganie zamierzonych wyników? Kluczowy – i często pomijany – jest wymiar etyczny. Promując etyczne postępowanie, kierownictwo powinno zadbać, by adresowano kwestie etyczne użycia AI i budowano kulturę odpowiedzialnego korzystania z niej, w tym poszanowanie praw autorskich i poufności. Wytyczna stawia tu wyraźną granicę: do systemów AI nie wolno wprowadzać treści norm ISO ani innych materiałów chronionych prawem autorskim – to wymóg podnoszony wprost przez ISO. Dla audytora to konkretny, sprawdzalny punkt: czy istnieją zasady zabraniające wgrywania chronionych treści (np. pełnych tekstów norm, danych objętych poufnością) do narzędzi generatywnej AI, i czy personel je zna. Kierownictwo powinno też przypisać role i odpowiedzialności w całym cyklu życia AI: własność danych wejściowych, projektowanie, eksploatację, aktualizację, utrzymanie i wycofanie systemu, kontrole operacyjne, monitorowanie skuteczności oraz interpretację wyników.
Klauzula 6 – Planowanie. Czy określono i zaadresowano ryzyka i szanse związane z AI – ryzyko stronniczych lub błędnych wyników, nadmiernego polegania na decyzjach automatycznych, ale też szansę na lepsze doświadczenie klienta? Czy zidentyfikowano i oceniono ryzyka specyficzne dla AI, takie jak bias, dryf modelu, problemy z jakością danych i niezamierzone skutki? Czy zaplanowano odpowiednie kontrole – nadzór człowieka, walidację, zabezpieczenia – oraz plany awaryjne na wypadek awarii lub degradacji systemu, wraz ze sposobem ich wykrywania i zarządzania nimi?
Klauzula 7 – Wsparcie. Czy dostępne są zasoby do utrzymania i aktualizacji AI: ekspertyza techniczna, zarządzanie jakością danych, wsparcie cyberbezpieczeństwa i adekwatna infrastruktura? Czy organizacja potrafi wykazać kompetencje osób używających, zarządzających i nadzorujących AI? Szczególnej uwagi wymaga udokumentowana informacja tam, gdzie potrzebna jest identyfikowalność (traceability): pochodzenie i „rodowód” danych (data lineage), kontrola wersji modeli, zapisy modyfikacji i ponownego trenowania oraz wyniki AI wykorzystywane w decyzjach.
Klauzula 8 – Działania operacyjne. Czy użycie AI w procesach operacyjnych wspiera zamierzone wyniki i nie wprowadza niezamierzonych ryzyk dla zgodności? Czy zmiany w systemach AI są nadzorowane? Gdy AI wspiera projektowanie i rozwój – jak zapewniono weryfikację i walidację przed wdrożeniem? Gdy wyniki AI zasilają specyfikacje, analizy czy decyzje techniczne – jak potwierdzono ich przydatność do zamierzonego zastosowania? Jeśli system pochodzi od zewnętrznego dostawcy – jak oceniono dostawcę i samą technologię? Tam, gdzie wynik AI wpływa na zwolnienie wyrobu, decyzje dotyczące bezpieczeństwa czy raportowanie regulacyjne – czy określono, kiedy niezbędny jest przegląd lub nadzór człowieka? Czy utrzymywana jest identyfikowalność decyzji podejmowanych pod wpływem AI? Dla systemów budowanych samodzielnie dochodzą pytania o pozyskiwanie, walidację i ochronę danych treningowych, sposób złożenia zbioru (dane naturalne, częściowo syntetyczne, syntetyczne) oraz nadzorowanie procesu trenowania i aktualizacji.
Klauzula 9 – Ocena efektów działania. Czy działają mechanizmy monitorowania i oceny skuteczności AI (dokładność, trafność, spójność)? Czy analizuje się trendy satysfakcji klienta pod kątem wpływu procesów wspieranych AI? Czy audit wewnętrzny obejmuje skuteczność procesów, w których działa AI, a informacja o działaniu systemów AI stanowi dane wejściowe do przeglądu zarządzania?
Klauzula 10 – Doskonalenie. Czy doskonalenie obejmuje zarówno same systemy AI, jak i procesy, które one wspierają? Czy oceniono możliwości poprawy niezawodności, transparentności i odpowiedzialnego użycia AI? Czy niezgodności i skargi związane z wynikami AI są rejestrowane, analizowane i obsługiwane?
Kompetencje audytora w erze AI
Integracja AI z SZJ podnosi poprzeczkę kompetencyjną. Wytyczna wskazuje sześć obszarów, w których audytor powinien być biegły: rozumienie koncepcji AI (uczenie maszynowe, analityka predykcyjna, przetwarzanie języka naturalnego, automatyzacja), świadomość ryzyka (dryf modelu, bias, brak transparentności, podatności cyberbezpieczeństwa, kwestie etyczne), biegłość w danych i systemach cyfrowych (jak dane są zbierane, przygotowywane i monitorowane oraz jak ich jakość wpływa na wyniki), ocena wpływu na proces (jak AI zmienia kontrole, role, walidację i monitorowanie), świadomość kwestii etyczno-prawnych (prywatność, bezpieczeństwo, transparentność, rozliczalność) oraz znajomość krajobrazu narzędzi AI (systemy predykcyjnego UR, wizja komputerowa do inspekcji, optymalizacja łańcucha dostaw, cyfrowe bliźniaki, spersonalizowane szkolenia).
To naturalnie łączy się z modelem kompetencji audytora z ISO 19011:2026 oraz z zasadą ciągłego rozwoju zawodowego (CPD). Audytorów zachęca się do systematycznego rozwijania wiedzy o technologiach cyfrowych i zarządzaniu AI – kompetencja w tym obszarze przestaje być opcją, a staje się warunkiem wydania ważnych wniosków z audytu.
Korzyści z właściwego podejścia do audytu SZJ z AI
Dla organizacji dobrze przeprowadzony audyt SZJ z komponentem AI to nie formalność, lecz niezależna weryfikacja, że technologia rzeczywiście służy jakości, a nie tworzy ukrytego ryzyka. Audytor patrzący na AI świadomie wcześnie wychwyci sytuacje, w których dryf modelu po cichu obniża trafność kontroli jakości, w których stronniczy scoring krzywdzi dostawcę, albo w których brak nadzoru człowieka nad automatycznym zwolnieniem wyrobu grozi wypuszczeniem niezgodności na rynek.
Dla samej firmy przekłada się to na wymierne efekty: większą pewność, że proces oparty na algorytmie jest stabilny i identyfikowalny; lepszą kontrolę nad zależnością od zewnętrznych dostawców AI; oraz gotowość na rosnące wymagania rynku i regulacji. Organizacja, która potrafi wykazać, że jej użycie AI jest nadzorowane, udokumentowane i etyczne, buduje zaufanie klientów i wyprzedza konkurencję w obszarze, w którym większość firm dopiero się orientuje. To także prosty pomost do dedykowanego systemu zarządzania sztuczną inteligencją zgodnego z ISO/IEC 42001, gdy skala użycia AI tego wymaga.
Jak podejść do audytu SZJ z AI — przygotowanie, przebieg, dowody
Przygotowanie audytu. Zanim audytor wejdzie na obiekt, powinien ustalić trzy rzeczy: czy w zakresie SZJ organizacja stosuje jakikolwiek typ systemu AI i w których procesach; jaką konkretnie funkcję pełnią te procesy w systemie; oraz kto odpowiada za dane obszary związane z AI. Ten etap wyznacza „gorące punkty” audytu – procesy, w których algorytm współdecyduje o zgodności wyrobu, bezpieczeństwie lub satysfakcji klienta.
Przebieg audytu. W trakcie audytor ocenia, jak systemy AI są zintegrowane z procesami i jak na nie wpływają, oraz zbiera dowody, że organizacja potrafi wykazać, iż użycie AI nie oddziałuje negatywnie na zgodność, nadzór nad procesem i osiąganie celów SZJ. Do tego dochodzi wspomniany wymiar praw autorskich: audytor powinien uzyskać dowód, że prawa własności intelektualnej są respektowane – w tym zapewnienie, że normy ISO i inne materiały chronione nie są wprowadzane do systemów AI. Warto podkreślić granicę roli: audytor jakości nie ocenia zgodności technologii z prawem AI ani nie waliduje modelu jak biegły – sprawdza, czy w ramach SZJ istnieje i działa proces panowania nad tymi kwestiami.
Dowody, których szukamy. Praktyczny zestaw obiektywnych dowodów obejmuje: zapisy pochodzenia i jakości danych (data lineage), kontrolę wersji i historię ponownego trenowania modeli, wyniki walidacji i weryfikacji przed wdrożeniem, ślad identyfikowalności decyzji podejmowanych pod wpływem AI, zapisy nadzoru człowieka w punktach krytycznych, wskaźniki monitorowania skuteczności modelu oraz dane wejściowe o działaniu AI w przeglądzie zarządzania. Brak któregokolwiek z tych elementów tam, gdzie AI wpływa na zgodność, jest sygnałem do pogłębienia badania – a często do niezgodności.
Czas i głębokość takiego audytu zależą od skali użycia AI: od pojedynczego chatbota obsługi klienta (kilka dodatkowych punktów w istniejącym programie audytu) po rozbudowane systemy wizji komputerowej i scoringu wpięte w kluczowe procesy (istotne rozszerzenie zakresu i czasu badania oraz wymóg wyższych kompetencji zespołu audytowego).
Kontekst regulacyjny UE: AI Act
W odróżnieniu od NIS2 i DORA – które nie mają bezpośredniego związku z systemem zarządzania jakością – AI Act (Rozporządzenie UE 2024/1689) jest tu realnym tłem regulacyjnym, ponieważ dotyka wprost systemów AI osadzonych w audytowanych procesach. Część z nich (np. narzędzia rekrutacyjne, monitoring pracowników czy niektóre zastosowania scoringu) może kwalifikować się jako systemy wysokiego ryzyka lub podlegać obowiązkom transparentności.
Stan na lipiec 2026 r.: AI Act obowiązuje fazowo od wejścia w życie 1 sierpnia 2024 r. – zakazane praktyki i wymóg kompetencji AI stosuje się od lutego 2025 r., a reguły dla modeli ogólnego przeznaczenia (GPAI) od sierpnia 2025 r. Unijny pakiet upraszczający „Digital Omnibus on AI” przeszedł właśnie ostatnie etapy instytucjonalne (zgoda Rady UE z 29 czerwca 2026 r., po poparciu Parlamentu z 16 czerwca) i oczekuje na publikację w Dzienniku Urzędowym. Przesuwa on kluczowe obowiązki dla systemów wysokiego ryzyka: samodzielne systemy z Aneksu III – na 2 grudnia 2027 r., a AI wbudowaną w produkty regulowane (Aneks I) – na 2 sierpnia 2028 r. Uwaga jednak: obowiązki transparentności z art. 50 (m.in. informowanie, że użytkownik wchodzi w interakcję z AI) oraz start egzekwowania większości przepisów pozostają na 2 sierpnia 2026 r.
Dla audytora wniosek jest praktyczny i wąski: nie audytuje on zgodności z AI Act, lecz weryfikuje, czy organizacja zidentyfikowała mające zastosowanie wymagania prawne i wbudowała ich obsługę w SZJ (klauzule 4, 6 i 8). Dedykowaną odpowiedzią systemową na te wymagania jest wdrożenie systemu zarządzania AI zgodnego z ISO/IEC 42001 – naturalny kolejny krok dla organizacji intensywnie korzystających ze sztucznej inteligencji.
Podsumowanie
Audyt systemu zarządzania jakością w organizacji korzystającej z AI nie wymaga nowych metod ani nowych celów – wymaga nowej wiedzy. Zadaniem audytora pozostaje to samo: ocenić, czy procesy działają skutecznie i czy organizacja stale dostarcza zgodny wyrób i usługę. Zmienia się jedynie to, na co trzeba patrzeć: na dryf modeli, jakość danych, nadzór człowieka, identyfikowalność decyzji i etykę użycia AI. Nowa wytyczna ISO 9001 Auditing Practices Group daje ku temu konkretną, praktyczną ramę.
Jeśli chcesz przygotować swój zespół audytu wewnętrznego do audytowania procesów wspieranych sztuczną inteligencją lub potrzebujesz konsultacji w zakresie nadzoru nad AI w Twoim SZJ – zapraszamy do kontaktu.
Bibliografia:
- ISO 9001 Auditing Practices Group (ISO & IAF). Guidance on: Auditing a Quality Management System that uses Artificial Intelligence (AI) systems, Edition 1, 2026. [ISO 9001 APG]
- ISO 9001:2015. Quality management systems — Requirements. [ISO.org]
- ISO/IEC 22989:2022. Information technology — Artificial intelligence — AI concepts and terminology. [ISO.org]
- ISO/IEC 23894:2023. Information technology — Artificial intelligence — Guidance on risk management. [ISO.org]
- ISO 19011:2026. Guidelines for auditing management systems. [ISO.org]
- ISO/IEC 42001:2023. Information technology — Artificial intelligence — Management system. [ISO.org]
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 (AI Act). [EUR-Lex]
FAQ: Audyt ISO 9001 a sztuczna inteligencja
Czy audyt ISO 9001 obejmuje systemy sztucznej inteligencji?
Tak, jeśli AI jest wbudowana w procesy objęte zakresem systemu zarządzania jakością — na przykład w kontrolę jakości opartą na wizji komputerowej, scoring dostawców czy obsługę klienta. Audytor ocenia wtedy, czy użycie AI nie narusza zgodności wyrobu i usługi oraz osiągania celów SZJ. Podstawą jest wytyczna ISO 9001 Auditing Practices Group z maja 2026 r.
Czy audyt SZJ z AI wymaga nowych metod audytu?
Nie. Zgodnie z wytyczną APG systemy AI nie wymagają ani nowych metod audytu, ani zmiany jego celów. Zmienia się natomiast zakres wymaganej wiedzy — audytor musi rozumieć, jak AI wpływa na procesy, dane i decyzje, oraz na co zwrócić uwagę przy zbieraniu dowodów.
Jakie kompetencje musi mieć audytor, by audytować procesy z AI?
Wytyczna wskazuje sześć obszarów: rozumienie koncepcji AI, świadomość ryzyka (dryf modelu, bias, cyberbezpieczeństwo), biegłość w danych, ocenę wpływu AI na proces, kwestie etyczno-prawne oraz znajomość krajobrazu narzędzi AI. To naturalne rozszerzenie modelu kompetencji z ISO 19011 i zakres ciągłego rozwoju zawodowego (CPD).
Czy certyfikat ISO 9001 potwierdza zgodność z AI Act?
Nie. Audyt ISO 9001 nie jest audytem zgodności z AI Act i certyfikat tego nie potwierdza. Audytor jakości weryfikuje jedynie, czy organizacja zidentyfikowała mające zastosowanie wymagania prawne (w tym AI Act, gdy dotyczy) i wbudowała ich obsługę w system zarządzania. Dedykowaną odpowiedzią systemową na zarządzanie AI jest ISO/IEC 42001.
Czy wolno wgrywać treści norm ISO do narzędzi AI?
Nie. Wytyczna APG wprost przypomina, że do systemów AI nie należy wprowadzać treści norm ISO ani innych materiałów chronionych prawem autorskim. Dla audytora to sprawdzalny punkt: czy organizacja ma zasady chroniące własność intelektualną i poufność przy korzystaniu z narzędzi generatywnej AI.
Ekspert w zakresie systemów zarządzania ISO, cyberbezpieczeństwa, compliance i AI governance. Audytor, konsultant, trener.
