一、ISO/IEC 42001:2023 5.3 标准原文
ISO/IEC 42001:2023 5.3 组织的岗位、职责和权限
原文:最高管理者应确保相关岗位的职责和权限在组织内得到分配和沟通。最高管理者应分配以下职责和权限,以:
a) 确保人工智能管理体系符合本标准的要求;
b) 向最高管理层报告人工智能管理体系的绩效。
注:表 A.1 中 A.3.2 提供了明确和分配职责和权限的控制措施。B.3.2 提供了此控制措施的实施指南。
原文:最高管理者应确保相关岗位的职责和权限在组织内得到分配和沟通。最高管理者应分配以下职责和权限,以:
a) 确保人工智能管理体系符合本标准的要求;
b) 向最高管理层报告人工智能管理体系的绩效。
注:表 A.1 中 A.3.2 提供了明确和分配职责和权限的控制措施。B.3.2 提供了此控制措施的实施指南。
提示:完整原文请参阅 ISO/IEC 42001:2023 正式文本
引用:AI系统通常横跨业务、产品、算法、数据、采购、法务、合规和运维。只要职责分工模糊,组织就会在平时各自推进、出事时相互等待。
二、条款解读说明
2.1 为什么AI治理比多数管理体系更依赖职责清晰
很多传统管理体系虽然也要求岗位职责明确,但AI治理的跨界特征使这一要求格外重要。一个AI应用从需求提出到上线运行,通常会经过业务定义、数据准备、模型开发或采购、系统集成、法律审查、风险评估、监测运维和事件响应多个环节。每个环节背后可能是不同部门、不同管理线、甚至不同法人主体。若职责与权限没有在体系中说清楚,很多关键任务就会落空。
实际工作中常见的问题非常典型:业务团队认为模型可靠性由技术团队负责,技术团队认为应用后果由业务负责,采购认为供应商透明度是法务问题,法务认为模型监测是技术问题,结果一旦发生偏差、误用、投诉或外部质疑,组织内部没有完整责任链。5.3就是要避免这种“人人参与、无人总责”的状态。
2.2 5.3在AIMS中的关键角色视角
| 角色视角 | 典型职责 | 常见偏差 | 建议做法 |
|---|---|---|---|
| 管理层/治理层 | 确定方向、批准资源、处理重大例外和残余风险 | 只看结果,不承担边界决策 | 明确上升机制和审批责任 |
| 业务/产品负责人 | 界定用途、场景、用户影响和业务后果 | 把责任全部推给技术团队 | 明确业务责任不可外包 |
| 技术/数据/模型负责人 | 负责技术实现、验证、监测和运行控制 | 只对性能负责,不对控制要求负责 | 将技术责任与治理要求结合 |
| 法务/合规/风险 | 识别要求、审核边界、支持例外决策 | 只在项目末端被动审核 | 前置参与并形成接口机制 |
| 采购/供应商管理/运维 | 控制外部依赖、平台接口和持续运行 | 第三方责任无人统筹 | 明确供应商责任界面和运维责任 |
2.3 职责明确不等于把所有工作塞给一个“AI负责人”
不少组织为了快速应对体系要求,会指定一个“AI治理负责人”或“AI合规经理”,希望通过这个岗位解决所有问题。这种做法只能解决协调问题,不能解决责任问题。因为AI治理涉及的许多职责天然属于不同业务线和专业线,例如业务后果由业务负责人承担,模型监测由技术或运维承担,合同义务由采购和法务承担,用户影响和投诉处理则可能落在客服和运营侧。
因此,5.3的正确理解不是“找一个人总负责所有工作”,而是建立清晰的责任链和权限链。一个组织可以有AIMS负责人负责统筹,但不能用这个岗位代替全部业务责任、技术责任和管理责任。成熟组织更常见的做法,是通过RACI矩阵、治理委员会、分层审批和例外上升路径,把AI治理责任真正拆分清楚。
注意:AI治理中的“责任”与“执行”并不总是同一个角色。例如,业务负责人可能对用途和影响负责,但由技术团队执行模型监测;管理层对重大例外负责,但由AIMS团队准备材料和跟踪落实。5.3要求的是这种关系被讲清楚。
三、实施要点
3.1 先识别AIMS关键活动,再反推责任角色
- 建议先梳理AIMS关键活动,如AI活动识别、影响评估、风险处置、供应商准入、上线审批、运行监测、事件处置、审核评审和持续改进,再判断每项活动的责任方、执行方和批准方。
- 不要先画组织结构图再勉强把任务往里塞,先看任务更容易避免责任空洞。
- 任务视角下的职责分配通常更贴近真实运行。
3.2 明确业务责任不能被技术责任替代
- AI项目中,业务部门应对用途、场景适当性、用户影响和人工介入边界承担责任,不能将所有责任都下沉给算法或平台团队。
- 技术团队则应对模型实现、验证、监测和运行控制承担责任,但不应被迫独自定义业务后果。
- 业务责任和技术责任一旦混为一谈,治理几乎一定会失衡。
3.3 对重大例外、残余风险和高影响场景设置上升权限
- 并非所有AI治理决策都应在项目组内部解决。对于高影响应用、关键供应商依赖、重要例外和重大投诉,应有明确上升到管理层或治理委员会的路径。
- 如果权限设计过低,项目现场往往会在时间和商业压力下做出超出授权边界的决定。
- 权限结构决定了责任结构是否真正可执行。
3.4 将外部参与方纳入职责界面管理
- 模型供应商、外包开发方、数据服务商、云平台方和第三方测试机构并不是组织内部岗位,但它们的责任界面必须通过合同、流程和接口机制被说明清楚。
- 尤其对依赖程度高的外部方,应明确谁负责管理关系、谁负责核验交付、谁负责接收问题和推动整改。
- 没有人管外部接口,内部职责再清楚也会在关键边界上失效。
3.5 用职责矩阵、流程图和宣贯确保分工被真正理解
- 职责如果只写在岗位说明里,很容易在实际协作中失真。建议结合RACI矩阵、审批流程、例会机制和案例培训,把职责落到可操作层。
- 特别要让管理层、业务负责人和技术负责人理解彼此边界,而不是只让AIMS团队理解。
- 职责被写下来只是第一步,被理解和执行才是真正完成。
成功:成熟组织的5.3通常表现为:关键AI活动都有明确责任人,重大事项知道由谁拍板,出现问题时责任链和响应链都能迅速被启动。
四、常用工具与实施方法
| 工具/方法 | 适用目的 | 实施建议 | 输出成果 |
|---|---|---|---|
| RACI职责矩阵 | 明确负责、执行、协作和知会关系 | 围绕关键AIMS活动逐项梳理 | 职责矩阵 |
| 治理委员会机制 | 处理跨部门AI治理问题和重大例外 | 明确议题范围、成员和决策权限 | 委员会章程、会议纪要 |
| 权限上升路径设计 | 避免项目现场自行承担超授权决策 | 对高影响事项设置升级条件 | 审批流程图 |
| 第三方责任界面表 | 管理供应商与外包方责任边界 | 结合合同、验收和运行职责说明 | 责任界面文件 |
| 角色宣贯培训 | 让不同角色理解各自职责 | 用真实场景而非抽象定义讲解 | 培训材料、签到记录 |
五、典型案例
案例一:模型输出有争议时,业务和技术团队互相等待
- 背景:某AI系统上线后出现明显偏差,客户投诉不断。
- 问题:业务认为模型问题归技术团队,技术认为是否继续上线应由业务决定,没人总责。
- 5.3动作:组织重新梳理责任矩阵,明确业务负责用途与后果、技术负责实现与监测、管理层负责重大残余风险决策。
- 结果:问题处置效率和责任边界显著改善。
- 启示:AI治理最怕的不是有人犯错,而是没人知道这错该谁来收口。
案例二:外包开发团队在关键控制点无人对接
- 背景:组织将部分AI能力开发外包,但内部没有明确接口人负责供应商治理。
- 问题:测试结果、文档交接和漏洞修复都在项目末端才集中暴露。
- 5.3动作:明确采购、技术和业务三方在外包治理中的责任分工。
- 结果:外部责任界面不再悬空。
- 启示:外包场景中的职责不清,往往会把内部问题放大成供应链问题。
案例三:重大例外没有上升机制,项目现场长期自行放行
- 背景:多个项目在时间压力下自行接受高残余风险上线。
- 问题:组织后来发现这些决定既无统一标准,也没有管理层知情。
- 5.3动作:建立重大例外上升审批机制和统一记录口径。
- 结果:高风险事项开始进入正式治理层决策。
- 启示:权限边界不清,责任边界就一定会漂移。
六、成文信息管理要求
5.3审核时,审核员通常会关注组织是否真的明确了AIMS相关职责,而不仅是简单列出部门名称。特别是在AI治理场景下,能够展示职责如何落到关键活动和例外决策上,往往比一份通用岗位说明更有说服力。
| 建议文件或记录 | 关键内容 | 责任角色 | 审核价值 |
|---|---|---|---|
| AIMS职责矩阵 | 关键活动对应的负责、执行、协作和批准角色 | AIMS负责人/管理层 | 证明职责边界清晰 |
| 组织架构和治理机制说明 | 委员会、工作组、上升路径和接口机制 | 管理层/AIMS团队 | 证明职责有组织载体 |
| 岗位授权或任命记录 | 关键角色的授权、任命和任职要求 | HR/管理层 | 证明职责不是口头分配 |
| 例外审批和决策记录 | 重大事项由谁评估、谁批准、谁跟踪 | 治理委员会/管理层 | 证明权限结构实际运行 |
| 职责宣贯记录 | 培训、沟通和FAQ说明 | AIMS团队/HR | 证明相关人员理解其职责 |
七、常见误区及踩坑提醒
| 误区 | 典型表现 | 正确做法 |
|---|---|---|
| 指定一个AIMS负责人就等于职责清楚 | 所有问题最后都堆到同一个协调人身上 | 建立跨角色的完整责任链 |
| 技术团队天然对AI结果负责 | 业务使用后果和用户影响无人承接 | 区分业务责任、技术责任和治理责任 |
| 外部供应商责任不属于内部职责范围 | 关键边界无人管理,问题难以追责 | 明确内部谁负责管理外部责任接口 |
| 职责写在文件里就算完成 | 现场协作仍然混乱,重大事项无人上升 | 结合流程、授权和宣贯让职责真正可执行 |
警告:避免把第5.3条做成一份抽象岗位列表。对于人工智能管理体系,真正重要的不是“有哪些岗位名称”,而是关键活动、关键边界和关键例外在现实中到底由谁负责、谁有权决定、谁负责监督。
小结:第5.3条决定了AIMS是否拥有清晰的责任链。只有岗位、职责和权限真正落到关键AI活动与重大决策上,人工智能管理体系才不会陷入“人人有关、人人都说不清”的治理困局。