AI 心理项目运行一段时间后,机构需要做审计。审计不只看系统有没有上线,也要看数据和服务是否按规则运行。
心理项目涉及敏感信息、AI 输出、人工复核和服务承接。审计做得细,能提前发现权限过宽、记录缺失和流程断点。
权限配置要逐项核对
审计第一项是权限。谁能建项目,谁能看个体报告,谁能导出数据,谁能修改预警,谁能给外部专家开账号,都要列出来。
还要看权限是否仍然有效。离职人员、调岗人员、临时专家、供应商支持账号和测试账号,可能仍保留访问权。
橙星云这类系统可以按角色和项目范围设置权限。审计时要核对系统配置和实际组织结构是否一致。
查看和导出日志要分开查
查看报告和导出文件代表不同风险。一个人能看报告,不等于适合批量下载。
审计时要单独查导出日志。导出原因、字段范围、审批人、下载人、文件去向和删除时间,都应有记录。
查看日志也要关注异常。比如非服务人员频繁看个体报告,外部账号在项目结束后仍访问,管理层查看了不该看的材料。
AI输出复核要有证据
AI 心理项目不能只保存最终报告。审计需要看到 AI 生成稿、人工修改意见、发布版本和用户反馈。
预警、开放题摘要、家长端反馈、员工建议和咨询摘要,都应有相应复核记录。没有复核证据,机构很难说明输出质量怎样被管理。
复核记录也能帮助发现系统问题。某类报告总被修改,说明模板或提示词可能需要调整。
用户告知要和实际流程一致
审计还要看用户告知。告知文案写了哪些数据用途,哪些角色能看,AI 做什么,人工怎样复核,用户怎样退出或申诉。
告知内容必须和系统配置一致。文案写得很克制,实际权限过宽,会损害信任;文案写得很宽,用户也会不愿真实表达。
学校、企业和咨询机构可以使用不同版本告知,但核心数据用途和查看范围要一致。
服务承接要看完成记录
心理项目审计不能停在技术层。预警线索是否处理,申诉是否反馈,预约是否完成,转介是否有结果,这些都要查。
如果系统识别出问题,却没有服务记录,项目风险仍然存在。审计要看到“发现之后发生了什么”。
审计结果要形成整改项。
审计结束后,机构要把问题写成整改项。权限过宽怎么收紧,日志缺失怎么补,复核不完整由谁处理,告知文案何时更新,都要有人负责。
整改项还应有完成时间。只写“后续优化”,很难推动项目变好。
整改完成后要复查。权限是否已经收紧,日志是否补齐,旧导出文件是否回收,用户告知是否更新,都要有确认记录。
AI 心理项目审计要查权限、日志、导出、复核、告知和服务承接。审计结果进入整改,项目才能按专业边界持续运行。