Pytania dla rady i zarządu

Pytania dla rady i zarządu przed decyzją o AI

AI w organizacji wymaga języka, który pozwala ocenić wartość, ryzyko, odpowiedzialność i zdolność firmy do wykonania. Ta lista pomaga uporządkować rozmowę przed decyzją o strategii AI, budżecie, wdrożeniu, dostawcy albo przeglądzie ryzyka.

Porozmawiajmy poufniePoproś o profil

Jak korzystać z tej listy

To nie jest audyt prawny ani kompletna procedura compliance. To zestaw pytań do rozmowy rady z zarządem oraz zarządu z organizacją.

Największą wartość daje wtedy, gdy odpowiedzi nie kończą się na deklaracji, lecz prowadzą do właściciela, miernika, dokumentu, decyzji albo działania. Jeżeli organizacja nie potrafi odpowiedzieć na część tych pytań, sama luka jest informacją dla rady.

Pytania rady do zarządu

  1. W których obszarach AI ma realnie zmienić wynik, koszt, jakość, szybkość albo ryzyko?
  2. Które inicjatywy AI wspierają strategię spółki, a które są eksperymentami prowadzonymi dlatego, że technologia jest dostępna?
  3. Jakie decyzje dotyczące AI zarząd chce podjąć w najbliższych 12 miesiącach i które z nich wymagają nadzoru rady?
  4. Kto w zarządzie odpowiada za AI jako całość: strategię, ryzyko, zgodność, dane, dostawców i wynik biznesowy?
  5. Jak rada będzie informowana o postępach: przez narrację projektową, czy przez metryki wartości, ryzyka, jakości i adopcji?
  6. Które zastosowania AI mogą wpłynąć na klientów, pracowników, kontrahentów, reputację albo zgodność z prawem?
  7. Czy spółka ma rejestr zastosowań AI, właścicieli tych zastosowań i klasyfikację ryzyka?
  8. W których miejscach człowiek zatwierdza decyzję AI, a w których tylko reaguje po fakcie?
  9. Czy zarząd ma scenariusz na incydent związany z AI: błąd, wyciek danych, decyzję dyskryminacyjną, halucynację albo nieuprawnione użycie narzędzia?
  10. Jakie kompetencje AI ma dziś rada, zarząd i kluczowe funkcje, które korzystają z systemów AI?

Pytania zarządu do organizacji

  1. Jakie systemy AI są używane dziś formalnie, a jakie funkcjonują jako shadow AI poza kontrolą organizacji?
  2. Które procesy biznesowe zależą już od AI, nawet jeśli organizacja nie nazywa ich jeszcze systemami AI?
  3. Kto jest właścicielem każdego zastosowania AI: biznes, IT, compliance, security, HR, legal, właściciel procesu czy dostawca?
  4. Jakie dane trafiają do systemów AI i kto zatwierdził ich użycie?
  5. Czy zespół potrafi odtworzyć ścieżkę decyzji: dane, prompt, model, wynik, człowiek w procesie, finalna decyzja?
  6. Jakie zasady obowiązują pracowników przy korzystaniu z narzędzi publicznych, enterprise i wewnętrznych?
  7. Czy dostawcy AI są oceniani pod kątem bezpieczeństwa, praw do danych, lokalizacji przetwarzania, audytowalności i możliwości wyjścia z usługi?
  8. Kto monitoruje jakość wyników AI po wdrożeniu, a nie wyłącznie w pilotażu?
  9. Jak organizacja wykrywa błędne, stronnicze albo nieaktualne odpowiedzi systemów AI?
  10. Kiedy projekt AI zostaje zatrzymany, jeżeli nie dowozi wartości albo generuje zbyt duże ryzyko?

AI Act i AI literacy

Część obowiązków AI Act już obowiązuje, w tym AI literacy od 2 lutego 2025. Kolejne obowiązki zależą od roli organizacji, rodzaju systemu i klasyfikacji ryzyka. Dlatego rozmowa powinna zacząć się od mapy zastosowań AI, a nie od jednej daty w kalendarzu.

  1. Czy organizacja wie, gdzie występuje jako provider, deployer albo użytkownik systemów AI?
  2. Czy istnieje aktualny rejestr zastosowań AI i ich klasyfikacja ryzyka?
  3. Czy osoby pracujące z systemami AI mają udokumentowany poziom AI literacy odpowiedni do roli, kontekstu i ryzyka?
  4. Czy organizacja wie, które zastosowania AI mogą dotyczyć osób fizycznych, klientów, pracowników albo decyzji o istotnym skutku?
  5. Czy proces wyboru dostawcy AI obejmuje pytania o zgodność, dokumentację, bezpieczeństwo, monitoring i obowiązki stron?
  6. Czy zarząd potrafi pokazać radzie, jak AI Act jest zarządzany operacyjnie, a nie wyłącznie opisany w polityce?

ROI i budżet

  1. Jaki problem biznesowy rozwiązuje dana inicjatywa AI?
  2. Jaki miernik pokaże, że projekt ma sens: przychód, koszt, czas, jakość, ryzyko, satysfakcja klienta albo zdolność operacyjna?
  3. Ile kosztuje utrzymanie rozwiązania po pilotażu: dane, licencje, integracje, monitoring, poprawki, bezpieczeństwo i ludzie?
  4. Czy projekt ma ownera biznesowego, który odpowiada za wynik, a nie wyłącznie za uruchomienie technologii?
  5. Przy jakim wyniku projekt zostaje skalowany, zatrzymany albo przebudowany?

Ryzyko i kontrola

  1. Jakie ryzyka operacyjne, regulacyjne, reputacyjne, finansowe i jakościowe tworzy dane zastosowanie AI?
  2. Czy ryzyka AI są wpisane w istniejący system zarządzania ryzykiem, compliance, audytu i kontroli wewnętrznej?
  3. Czy rada dostaje informacje o AI w sposób porównywalny do innych istotnych ryzyk spółki?
  4. Czy organizacja ma procedurę zgłaszania i obsługi incydentów AI?
  5. Czy istnieje jasna granica między rekomendacją AI a decyzją człowieka?
  6. Czy spółka potrafi wyjaśnić klientowi, regulatorowi albo audytorowi, jak działa istotny proces wspierany przez AI?

Egzekucja

  1. Czy pilotaż AI ma ścieżkę do procesu operacyjnego, budżetu, właściciela, jakości i monitoringu?
  2. Co musi być prawdą za 90 dni, żeby uznać, że projekt przeszedł z prezentacji do działania?
  3. Jakie funkcje muszą współpracować, żeby AI działało bezpiecznie: biznes, IT, dane, security, legal, compliance, HR, operacje?
  4. Czy organizacja ma wystarczające dane, procesy i kompetencje, żeby utrzymać rozwiązanie po pierwszym wdrożeniu?
  5. Kto ma prawo zatrzymać projekt AI, jeżeli ryzyko rośnie szybciej niż wartość?

Kiedy warto zatrzymać rozmowę

Jeżeli odpowiedzi są ogólne, rozproszone albo zależą od jednej osoby, rada powinna potraktować to jako sygnał. Przy AI problemem rzadko jest sama technologia. Częściej jest nim brak właściciela, mierników, kontroli albo zdolności do wykonania.

W takich sytuacjach warto zacząć od krótkiego board briefingu albo przeglądu AI governance.

Kontakt poufny

Źródła