aims-audit
作者 alirezarezvaniaims-audit 是一款用于 ISO/IEC 42001 AIMS 合规审查的 Claude skill,通过 /cs:aims-audit <scope> 和六个强制性问题,在认证、内部审核或 AI 系统上线纳入范围之前,检验范围、方针、风险刷新与审核证据。
该 skill 得分为 68/100,达到可收录标准,但目录用户需要清楚它的边界。它可以被触发,并包含真实的 ISO/IEC 42001 AIMS 审核追问内容,因此能帮助 agent 对范围、方针、风险刷新和审核准备情况进行压力测试。不过,它缺少支持文件、安装指引和更完整的运营交付物,因此用户应将其视为一个精简的审核提问 skill,而不是完整的内部审核工具包。
- 命令和触发方式清晰:/cs:aims-audit <scope>,并覆盖阶段 1 认证准备、年度内部审核,以及将新 AI 系统纳入 AIMS 范围等具体使用场景。
- 具备实质性的 ISO/IEC 42001 导向内容:摘录包含与范围、方针承诺、Clause 4.3、Clause 5.2、Clause 6.1.2、Clause 9.2 和 Annex A.2.2 相关的具体审核提问。
- 便于 agent 发挥作用:六个问题的压力测试格式,相比泛泛的合规提示,能让 agent 更有结构地挑战 AIMS 准备情况。
- 仓库预览中只看到 SKILL.md,没有支持文件,尽管该 skill 要求用户运行 aims_gap_analyzer.py。
- 它更像是一份强制追问式检查清单,而不是完整的 ISO 42001 审核流程;在证据模板、评分标准或交付物示例方面较为有限。
aims-audit skill 概览
aims-audit 的用途
aims-audit skill 是一项面向合规审查的 Claude skill,用于在认证节点、内部审计或 AI 系统上线/纳入管理范围决策之前,对 ISO/IEC 42001 AI Management System 进行压力测试。它围绕 /cs:aims-audit <scope> 运行,并通过六个强制性问题暴露证据薄弱、范围覆盖缺失以及可能演变为审计发现的政策缺口。
最适合的用户与审查时机
aims-audit skill 适合 AI 治理负责人、内部审计人员、合规经理、ISO 42001 落地团队,以及正在准备 AIMS 审查的咨询顾问。它尤其适用于 stage 1 certification 之前、年度内部审计周期之前、重大模型变更之后、AI risk register 长时间未更新时,或新的 SaaS AI 功能可能在不易察觉的情况下扩大 AIMS 边界时。
这项 skill 的差异点
与泛泛的“review my compliance program”提示词不同,aims-audit 的范围刻意收窄。它会追问 AIMS scope 是否列明了所有相关 AI system,AI policy 是否覆盖 lawful use、beneficial purpose、human oversight 和 continual improvement,以及现有证据是否足以支撑所声称的 ISO 42001 符合性。这样的强制提问格式有助于避免过于乐观的自我评估。
采用前需要注意的事项
aims-audit 的仓库包比较轻量:可见的 skill 路径包含 SKILL.md,但 skill 文件夹内似乎没有随附完整证据库、模板或可执行脚本。应将它视为一种专家式追问工作流,而不是完整的审计自动化系统。如果 skill 提到 aims_gap_analyzer.py 之类的辅助工具,请先确认该文件是否存在于你的已安装环境中,再把它纳入正式流程。
如何使用 aims-audit skill
aims-audit skill 的安装场景
如果你的 Claude skills 环境支持从 GitHub 安装,可从以下仓库路径安装:
npx skills add alirezarezvani/claude-skills --skill aims-audit
随后应先检查已安装的 SKILL.md。由于这项 skill 主要由指令驱动,最关键的安装检查是确认你的 agent 是否能看到命令模式 /cs:aims-audit <scope> 以及六问题工作流。如果你的平台不支持命令式调用,可以将相关 skill 文本粘贴到合规审查会话中,并明确要求模型按该流程执行。
skill 需要哪些输入
要让 aims-audit 产生有价值的结果,不要只提供“review our AIMS”这类笼统请求。你需要提供足够证据,让它能够测试范围、政策和审计就绪度。高质量输入包括:
- 当前 AIMS scope statement
- AI systems 清单,包括嵌入式模型和第三方 AI 服务
- AI policy 文本
- Risk register 日期和近期变更
- ISO 42001 条款与 Annex A controls 的证据映射
- Internal audit plan 或 stage 1 certification 时间线
- 重大模型变更、新 AI vendors 或生产实验的说明
更好的提示词示例是:“Run /cs:aims-audit for our customer-support AI scope. Check whether the attached AIMS scope covers our chatbot, summarization feature, vendor AI search, and pilot triage model. Flag stage 1 risks, missing evidence, and policy language that fails lawful use, beneficial purpose, human oversight, or continual improvement.”
用于 Compliance Review 的实际工作流
将 aims-audit 用于 Compliance Review 时,应把它当作审计前的挑战性评审会,而不是最终审计报告。先从 scope statement 和 system inventory 开始。首先要求识别遗漏,因为范围缺口可能会让后续证据失效。然后审查政策承诺、风险刷新时间,以及模型或供应商变更是否触发了重新评估。最后,把发现转化为行动清单:owner、所需证据、ISO 42001 clause area、severity 和 target date。
优先阅读的仓库文件
在做安装决策前,先阅读 SKILL.md。它包含命令、运行时机建议,以及六个 AIMS 问题。在预览到的 skill tree 中,没有明显的配套目录,例如 references/、rules/、resources/ 或 scripts/,因此不要假设该仓库提供逐条款参考材料。你需要自备 ISO 42001 文档、内部政策和证据索引。
aims-audit skill 常见问题
aims-audit 是完整的 ISO 42001 审计工具吗?
不是。aims-audit 是一项聚焦于提问和识别潜在 AIMS 弱点的 skill。它可以支持内部审计准备、认证就绪度检查和系统纳入管理范围审查,但不能替代合格审计员、你的正式审计计划,或受控的证据管理流程。
aims-audit 比普通提示词好在哪里?
普通提示词可能会总结你的 AIMS,却遗漏真正令人不舒服的缺口。aims-audit skill 的设计目标是用面向 ISO 42001 的具体问题挑战管理体系,尤其关注范围完整性、AI policy 实质内容、风险刷新时间,以及与 ISMS 或 QMS 流程的重复或错位。这种结构能降低得到一份礼貌但浅层审查结果的概率。
aims-audit 对新手友好吗?
新手也可以使用,但输出质量取决于所提供的证据。如果你刚接触 ISO 42001,建议先让 skill 区分 “missing evidence”、“unclear scope” 和 “policy weakness”。不要在文档不完整的情况下要求它判断是否已经具备认证就绪度。
什么时候不适合使用它?
当你需要的是广泛的 AI ethics brainstorm、法律意见,或从零搭建完整管理体系时,不应使用 aims-audit。如果你无法至少提供基础 AI system inventory 和 policy text,它也不太适合。缺少这些材料时,skill 只能给出通用的风险提醒。
如何改进 aims-audit skill
首次运行前改进 aims-audit 输入
最常见的失败模式是范围描述含糊。在调用 aims-audit 之前,列出所有会影响你们服务的 AI systems,包括供应商提供的 AI 功能、嵌入式模型、已在生产中使用的试点项目,以及有真实用户的“experimental”系统。同时补充 risk-register 刷新日期和重大模型变更日期。这样,skill 才能基于事实进行追问,而不是自行假设。
要求输出可用于审计
明确告诉 skill 你需要什么格式。例如:“Return a table with issue, evidence gap, ISO 42001 area, likely audit impact, owner, and remediation action.” 这能把 aims-audit 指南转化为实用的内部审计工作产物,也更便于将发现交给合规、工程、采购或产品负责人处理。
基于第一版发现继续迭代
拿到第一版输出后,不要停留在摘要。继续追问,例如:“Which finding would most likely block stage 1?”, “Which scope omissions affect third-party AI services?”, 或 “Rewrite our policy clause to cover lawful use, beneficial purpose, human oversight, and continual improvement without marketing language.” 迭代过程正是这项 skill 比清单更有价值的地方。
在本地强化这项 skill
如果你的组织会反复使用 aims-audit,可以用自己的 evidence map、clause references、audit report template,以及 AI system boundaries 定义来扩展本地工作流。建议将这些补充内容与上游 SKILL.md 分开管理,方便后续更新。通常,最有价值的改进并不是增加更多提示词,而是把 skill 需要检查的文档组织得更好。
