aims-audit
作成者 alirezarezvaniaims-audit は、ISO/IEC 42001 AIMS のコンプライアンスレビュー向け Claude スキルです。/cs:aims-audit <scope> と6つの強制質問を使い、認証取得、内部監査、AI システムのオンボーディング前に、スコープ、方針、リスク更新、監査証跡を確認します。
このスキルのスコアは 68/100 で、ディレクトリ掲載は可能ですが、利用者には明確な制約を理解してもらう必要があります。トリガー可能で、ISO/IEC 42001 AIMS 監査向けの実際の問いかけ内容を含むため、エージェントがスコープ、方針、リスク更新、監査準備状況を厳しめに確認する用途に役立ちます。一方で、補助ファイル、インストール手順、より充実した運用成果物は不足しています。そのため、完全な内部監査ツールキットではなく、簡潔な監査質問スキルとして扱うのが適切です。
- コマンドとトリガーが明確です: /cs:aims-audit <scope>。ステージ1認証準備、年次内部監査、新しい AI システムの AIMS スコープへの組み込みなど、具体的な利用場面も示されています。
- ISO/IEC 42001 に沿った実質的な内容があります。抜粋には、スコープ、方針コミットメント、Clause 4.3、Clause 5.2、Clause 6.1.2、Clause 9.2、Annex A.2.2 に紐づく具体的な監査質問が含まれています。
- エージェントで使いやすい焦点設定です。6つの質問で圧力テストする形式により、汎用的なコンプライアンス質問よりも構造的に AIMS の準備状況を確認できます。
- リポジトリのプレビューでは SKILL.md のみが表示され、スキル内では aims_gap_analyzer.py の実行を促しているにもかかわらず、補助ファイルは確認できません。
- 完全な ISO 42001 監査ワークフローというより、強制質問型のチェックリストに近い内容です。証跡テンプレート、採点基準、成果物例は限られています。
aims-audit skill の概要
aims-audit の用途
aims-audit は、認証の節目、内部監査、または AI システムのオンボーディング判断の前に、ISO/IEC 42001 AI Management System を厳しく検証するための、コンプライアンス重視の Claude skill です。/cs:aims-audit <scope> を中心に設計されており、6つの強制的な問いによって、監査指摘につながり得る証拠の弱さ、スコープ漏れ、ポリシー上のギャップをあぶり出します。
向いているユーザーとレビューのタイミング
aims-audit skill は、AI ガバナンス責任者、内部監査担当者、コンプライアンスマネージャー、ISO 42001 導入チーム、レビューに向けて AIMS を準備するコンサルタントに適しています。特に、ステージ1認証の前、年次内部監査サイクルの前、重要なモデル変更の後、AI リスクレジスターが更新されていないとき、または新しい SaaS AI 機能によって AIMS の境界が気づかないうちに広がっている可能性があるときに有用です。
このスキルの違い
一般的な「コンプライアンスプログラムをレビューして」というプロンプトとは異なり、aims-audit は意図的に範囲を絞っています。AIMS のスコープが関連するすべての AI システムを明示しているか、AI ポリシーが適法な利用、有益な目的、人間による監督、継続的改善をカバーしているか、そして主張している ISO 42001 への適合を証拠が裏づけているかを確認します。この強制質問の形式により、楽観的な自己評価に流れるリスクを抑えられます。
導入時の重要な注意点
aims-audit のリポジトリパッケージは軽量です。確認できる skill パスには SKILL.md が含まれていますが、skill フォルダー内に完全な証拠ライブラリ、テンプレート、実行可能スクリプトが同梱されているようには見えません。完全な監査自動化システムではなく、専門家による問い詰め型のレビュー手順として扱ってください。skill が aims_gap_analyzer.py のような補助ツールに言及している場合は、それを自社プロセスに組み込む前に、インストール済み環境にそのファイルが実在するか確認してください。
aims-audit skill の使い方
aims-audit のインストール前提
Claude skills 環境が GitHub からのインストールに対応している場合は、次のリポジトリパスからインストールします。
npx skills add alirezarezvani/claude-skills --skill aims-audit
その後、まずインストール済みの SKILL.md を確認してください。この skill は主に指示文で動くため、最も重要なインストール確認ポイントは、エージェントがコマンド形式 /cs:aims-audit <scope> と6問のワークフローを認識できるかどうかです。利用しているプラットフォームがコマンド形式の呼び出しに対応していない場合は、該当する skill テキストをコンプライアンスレビューのセッションに貼り付け、明示的に適用するようモデルに依頼してください。
skill に必要な入力
aims-audit を有効に使うには、「当社の AIMS をレビューして」だけで終わらせないでください。スコープ、ポリシー、監査対応状況を検証できるだけの証拠を渡す必要があります。強い入力例は次のとおりです。
- 現在の AIMS スコープ記述
- AI システムの一覧(組み込みモデル、第三者 AI サービスを含む)
- AI ポリシー本文
- リスクレジスターの日付と最近の変更内容
- ISO 42001 の各箇条および Annex A 管理策に対する証拠マップ
- 内部監査計画またはステージ1認証のタイムライン
- 重要なモデル変更、新しい AI ベンダー、本番環境での実験に関するメモ
よりよいプロンプトは次のようなものです。「当社のカスタマーサポート AI スコープについて /cs:aims-audit を実行してください。添付した AIMS スコープが、チャットボット、要約機能、ベンダー提供の AI 検索、パイロット中のトリアージモデルをカバーしているか確認してください。ステージ1のリスク、不足している証拠、適法な利用・有益な目的・人間による監督・継続的改善を満たしていないポリシー文言を指摘してください。」
Compliance Review での実務ワークフロー
Compliance Review で aims-audit を使う場合は、最終監査報告書を作るためではなく、監査前のチャレンジセッションとして使います。まずスコープ記述とシステム一覧から始めます。スコープ漏れは後続の証拠を無効化しかねないため、最初に漏れを確認してください。次に、ポリシー上のコミットメント、リスク更新のタイミング、モデルやベンダーの変更が再評価を引き起こしているかを確認します。最後に、指摘事項をアクションリストへ変換します。担当者、必要な証拠、ISO 42001 の箇条領域、重大度、目標日を含めると実務に落とし込みやすくなります。
最初に読むべきリポジトリファイル
インストール判断の前に SKILL.md を読んでください。そこにはコマンド、実行すべきタイミングのガイダンス、6つの AIMS 質問が含まれています。プレビューされた skill ツリーには、references/、rules/、resources/、scripts/ のような明確な関連フォルダーは見当たらないため、リポジトリが箇条ごとの参照資料を提供していると想定しないでください。自社の ISO 42001 文書、内部ポリシー、証拠インデックスを用意して使う必要があります。
aims-audit skill FAQ
aims-audit は完全な ISO 42001 監査ツールですか?
いいえ。aims-audit は、AIMS の弱点になりそうな箇所を特定するための、質問に特化した skill です。内部監査の準備、認証準備状況の確認、オンボーディングレビューを支援できますが、有資格の監査人、正式な監査プログラム、管理された証拠管理の代替にはなりません。
aims-audit は通常のプロンプトより何が優れていますか?
通常のプロンプトでは、AIMS を要約するだけで、都合の悪いギャップを見落とすことがあります。aims-audit skill は、ISO 42001 を意識した具体的な問いでシステムに揺さぶりをかけるよう設計されています。特に、スコープの網羅性、AI ポリシーの実質、リスク更新のタイミング、ISMS や QMS プロセスとの重複に焦点を当てます。この構造により、丁寧だが浅いレビューで終わる可能性を下げられます。
aims-audit は初心者にも使いやすいですか?
初心者でも使えますが、出力の質は提供する証拠に左右されます。ISO 42001 に不慣れな場合は、まず skill に「不足している証拠」「不明確なスコープ」「ポリシー上の弱点」を分けて整理するよう依頼してください。不完全な文書だけで認証準備ができているかを判断させるのは避けるべきです。
使わないほうがよい場面は?
幅広い AI 倫理のブレインストーミング、法的意見、またはマネジメントシステム全体をゼロから構築する支援が必要な場合、aims-audit は適していません。また、少なくとも基本的な AI システム一覧とポリシー本文を共有できない場合にも向きません。それらがないと、skill は一般的なリスク注意喚起しかできません。
aims-audit skill を改善する方法
初回実行前に aims-audit の入力を整える
最もよくある失敗は、スコープが曖昧なことです。aims-audit を呼び出す前に、自社サービスに影響するすべての AI システムを列挙してください。ベンダー提供の AI 機能、組み込みモデル、本番で使われているパイロット、「実験的」だが実ユーザーがいるシステムも含めます。リスクレジスター更新日と重要なモデル変更の日付も追加してください。これにより、skill は推測ではなく事実をもとに問いを投げられます。
監査で使える出力を依頼する
必要な形式を skill に明確に伝えてください。たとえば、「issue、evidence gap、ISO 42001 area、likely audit impact、owner、remediation action を含む表で返してください」と依頼します。これにより、aims-audit ガイドを実務的な内部監査成果物に変換でき、コンプライアンス、エンジニアリング、調達、プロダクト責任者へ指摘事項を引き渡しやすくなります。
最初の指摘リストの後に反復する
最初の出力を受け取ったら、要約で止めないでください。たとえば、「どの指摘がステージ1を最も阻害しそうですか?」「どのスコープ漏れが第三者 AI サービスに影響しますか?」「当社のポリシー条項を、マーケティング調にならないように、適法な利用・有益な目的・人間による監督・継続的改善をカバーする文言へ書き換えてください」といった追加質問を行います。反復してこそ、この skill は単なるチェックリスト以上の価値を発揮します。
skill をローカルで強化する
組織として aims-audit を繰り返し利用する場合は、自社の証拠マップ、箇条参照、監査報告書テンプレート、AI システム境界の定義を追加して、ローカルのワークフローを拡張してください。これらの追加要素は upstream の SKILL.md とは分けて管理し、更新を扱いやすくしておきます。最も価値が高い改善は、多くの場合、プロンプト文を増やすことではありません。skill が確認すべき文書をよりよく整理することです。
