Spørgsmålet opstår naturligt for virksomheder, der arbejder med EU AI Act compliance: Kan vi håndtere det internt — eller har vi brug for ekstern assistance?
Det er et legitimt spørgsmål, og svaret er nuanceret. For de fleste virksomheder er kombinationen af intern kortlægning og ekstern validering den mest effektive tilgang. Men det afhænger af virksomhedens størrelse, antallet af AI-systemer og kompetenceniveauet internt.
Hvad en HR-AI audit indebærer
En HR-AI audit er en systematisk gennemgang af virksomhedens brug af AI i HR-processer med henblik på at identificere:
En audit kan have to formål: Compliance-audit (er vi i overensstemmelse med loven?) og risiko-audit (hvad er de potentielle skader ved vores brug af AI?).
Intern audit: Hvad den kan og ikke kan
En intern audit er mulig og tilstrækkelig for mange compliance-opgaver. Den er særlig egnet til:
Kortlægning og klassificering: En intern HR-funktion med grundlæggende EU AI Act-kendskab kan kortlægge, hvilke systemer der er i brug og foretage en første klassificering. Det er ikke rocket science — det kræver systematik og en forståelse af loven.
Dokumentationsgennemgang: At tjekke om leverandørerne har leveret de nødvendige dokumenter — overensstemmelseserklæring, brugervejledning, teknisk dokumentation — er en intern opgave.
Procedure-implementering: At etablere interne procedurer for menneskelig overvågning, medarbejderinformation og klageprocedure kan gøres internt med den rette skabeloner og vejledning.
Grænsen for intern audit: En intern audit kan ikke erstatte ekstern ekspertise, når:
Ekstern audit: Hvornår er den nødvendig?
Ekstern assistance er nødvendig eller stærkt anbefalet i en række situationer:
Situation 1: Klassificering af grå-zone systemer
Visse AI-systemer i HR er tydelige høj-risiko (et rekrutteringssystem der automatisk rangerer kandidater). Andre er klart minimal-risiko (et simpelt dashboard). Men mange systemer falder i en gråzone.
Et system, der "kun" viser data men med AI-genererede anbefalinger, en chatbot der indsamler informationer fra kandidater men ikke formelt vurderer dem, et engagement-overvågningssystem der producerer "risikoscores" — disse kræver en fortolkningsvurdering, som typisk bør involvere ekstern juridisk ekspertise.
Situation 2: Bias-vurdering og demografisk analyse
Hvis jeres post-market monitoring afslører mistanke om systematisk bias, kræver en grundig vurdering statistisk analyse og metodologisk ekspertise. Det er sjældent tilstrækkelig at lave en intern "mavefornemmelse-vurdering".
En ekstern bias-audit inkluderer typisk:
Dette er ekstern specialistviden.
Situation 3: Leverandørvurdering med teknisk dybde
At vurdere om en leverandørs tekniske dokumentation faktisk dokumenterer, hvad den bør dokumentere, kræver teknisk-juridisk ekspertise. Mange leverandørers dokumentation er skrevet til at se komplet ud uden at være det.
En ekstern vurdering af leverandørdokumentationen giver et uafhængigt og mere troværdigt billede.
Situation 4: Tilsynsundersøgelse eller retlig trussel
Hvis jeres virksomhed er genstand for en tilsynsundersøgelse fra Datatilsynet, en fremtidig AI-tilsynsmyndighed, eller hvis I har modtaget en klage fra en kandidat eller medarbejder, er ekstern juridisk bistand nødvendig.
I disse situationer er ekstern assistance ikke blot nyttig — den kan være afgørende for udfaldet.
Conformity assessment: Provider vs. tredjepartsaudit
Der er en vigtig sondring i EU AI Act, der er relevant for auditdiskussionen:
Conformity assessment er det formelle vurderingssystem, der er beskrevet i Art. 43. For de fleste HR-AI systemer (Annex III, kategori 2-8) er self-assessment (intern vurdering af provideren) tilladt. Ekstern tredjepartsaudit er kun obligatorisk for Annex III, punkt 1 (biometri-systemer).
Det betyder: At bruge ekstern assistance til at hjælpe med compliance-dokumentation er ikke det samme som en formel tredjepartsaudit under EU AI Act. Det er intern-assisteret compliance med ekstern ekspertise.
Praktisk model: Hybrid audit for SMV'er
For de fleste mellemstore virksomheder er en hybrid model den mest effektive:
Trin 1 — Intern kortlægning (internt):
HR-funktionen kortlægger alle AI-systemer i brug. En simpel liste med system-navn, leverandør, anvendelsesformål og en første klassificering (høj-risiko/lav-risiko/ukendt).
Trin 2 — Ekstern validering af kortlægning (ekstern):
En ekstern rådgiver gennemgår kortlægningen og vurderer klassificeringerne. Uklare tilfælde analyseres og klassificeres med juridisk begrundelse. Dette er typisk det mest effektive sted at bruge ekstern assistance.
Trin 3 — Intern dokumentationsimplementering (internt med skabeloner):
Med en valideret klassificering og klare vejledninger implementerer den interne HR-funktion de nødvendige procedurer, dokumentation og informationsmateriale — typisk med skabeloner fra den eksterne rådgiver.
Trin 4 — Ekstern spot-check (ekstern):
En ekstern spot-check af de implementerede procedurer og dokumenter sikrer, at implementeringen er korrekt. Det er hurtigere og billigere end en fuld ekstern audit.
Trin 5 — Intern løbende vedligeholdelse (internt):
Post-market monitoring, opdateringslog og løbende overvågning er interne opgaver med etablerede procedurer.
Hvad PowerQuant leverer
PowerQuants tilbud er designet til at støtte hybrid-modellen:
Module 1 — Baseline Compliance (10.999 kr)
Ekstern validering af jeres interne kortlægning og klassificering. Leverandørvurdering. Prioriteret handlingsplan. Egnet som Trin 2 i hybrid-modellen.
Module 2 — Full Documentation Pack (24.999 kr)
Fuld ekstern assistance til dokumentationsimplementering inklusiv alle nødvendige skabeloner. Egnet som kombination