AI w organizacji: nie bać się, ale nie dać się też ponieść fali
Każda rozmowa o sztucznej inteligencji w organizacji toczy się dziś w jednym z dwóch rejestrów. Pierwszy to entuzjazm graniczący z naiwnością. Drugi to opór graniczący z zaprzeczeniem. Oba są dla Was niekorzystne i oba kosztują.
Pozwolę sobie zaproponować trzecie podejście, czyli spokojną, opartą na faktach ocenę ryzyka. To właśnie tym zajmuję się na co dzień.
AI jest już w Waszej organizacji, nawet jeśli o tym nie wiecie. Jest w narzędziach, których używają Wasi pracownicy. W Copilocie wbudowanym w Microsoft 365. W skrzynce mailowej, która proponuje odpowiedź. W systemach Waszych dostawców, którzy przetwarzają Wasze dane.
Pytanie, które trzeba sobie zadać, brzmi: „Jak zarządzać AI w naszej organizacji, skoro już tu jest?”
Uznanie tego faktu jest ważne, bo zmienia kierunek podejmowanych decyzji. Organizacje, które traktują AI jako projekt do uruchomienia, spóźnią się. Organizacje, które traktują AI jak ryzyko do zarządzania, będą gotowe.
Koszty AI
Przejdźmy do konkretów. Koszt modeli językowych w klasie enterprise jest kalkulowany inaczej niż w przypadku tradycyjnego oprogramowania. Zamiast stałej opłaty licencyjnej macie model tokenowy, w którym płacicie za każdy token (jeden token to w przybliżeniu 0,75 słowa w języku angielskim, dla języka polskiego proporcja bywa inna), który model przetwarza, czyli zapytanie, odpowiedź i kontekst, który mu podajecie. Im bardziej złożone zadanie, im dłuższy dokument, im dłuższa historia rozmowy, tym wyższy koszt.
To istotna zmiana modelu finansowego, której firmy często nie są do końca świadome albo po prostu lekceważą ją na etapie wdrożenia.
Według raportu FinOps Foundation State of FinOps 2026 aż siedemdziesiąt trzy procent przedsiębiorstw przekroczyło swoje budżety na AI. Powód był zaskakujący. Tańsze tokeny odblokowały sto nowych powodów do użycia AI. TechCrunch podawał niedawno, że Microsoft wycofał większość wewnętrznych licencji na Claude Code po przekroczeniu budżetu, a Uber wyczerpał roczny budżet na AI w ciągu zaledwie czterech miesięcy.
Jedna z firm wydała 500 milionów dolarów w ciągu jednego miesiąca po wprowadzeniu nieograniczonego dostępu dla pracowników. Kwota robi wrażenie i wymaga wyjaśnienia. Koszt 500 milionów dolarów w ciągu miesiąca nie wynika z klikania w chatbota przez pracowników. Źródłem były agenty AI działające autonomicznie, czyli systemy, w których jeden agent wywołuje kolejne, te wywołują następne, a pętle mnożą się bez nadzoru i bez limitów wydatków.
W takim środowisku pojedynczy strumień zadań może konsumować miliony tokenów na minutę. Firma, o której napisał między innymi Axios, za Fast Company, nie miała żadnych mechanizmów kontroli kosztów. Przyczyną tej sytuacji był brak nadzoru i zasad korzystania z AI, a nie sam model. Historia tego przypadku pochodzi z pojedynczego, niepotwierdzonego źródła i powinna być traktowana jako ostrzeżenie przed tym, co jest możliwe, gdy brakuje rozsądnego zarządzania dostępem do AI. Bezpieczne podejście polega na segmentacji, czyli ustaleniu, kto, do jakiego modelu, w jakim kontekście i z jakim uzasadnieniem biznesowym otrzymuje dostęp. To klasyczne zarządzanie ryzykiem operacyjnym, tyle że z nowym obiektem.
Zastosowanie AI a cięcia etatów
AI zwiększa wydajność i może pomóc w zarządzaniu zespołami. Menedżer dzięki wsparciu AI może dawać pracownikom bardziej precyzyjny kontekst, dokładniejsze i bardziej zrozumiałe instrukcje lub narzędzia ułatwiające weryfikację wyników pracy, także przez samych pracowników jako pierwszy stopień kontroli jakości (na przykład checklisty, które pomagają pracownikowi sprawdzić, czy nie pominął niczego istotnego). Osoba kierująca zespołem, która do tej pory nie miała wystarczająco dużo czasu, aby dokładnie wytłumaczyć zespołowi „dlaczego” i „jak”, z asystą AI może to zrobić szybciej i lepiej, a to przekłada się z kolei na rzeczywistą poprawę jakości otrzymywanych wyników prac.
Kłopot zaczyna się wtedy, gdy ta dobra wiadomość staje się uzasadnieniem dla decyzji kadrowych, które nie powinny mieć z nią nic wspólnego.
„Mamy AI, więc możemy ciąć etaty operacyjne”. To zdanie już pada w zaciszu sal konferencyjnych. Kryje się w nim duże nieporozumienie, ponieważ AI pozostawia pracę operacyjną po stronie człowieka. Może ją ułatwić, przyspieszyć i ograniczyć jej ilość, ale to człowiek wciąż musi ją wykonać, tyle że z pomocą narzędzia, które błyskawicznie analizuje dane i informacje.
Gartner zresztą już sprawdził, czy cięcia etatów przynoszą oczekiwane efekty pod względem wyników firmy. Helen Poitevin, Distinguished VP Analyst w Gartnerze, podsumowała wyniki badania z maja 2026 roku: „There’s no connection or correlation between people who are achieving ROI and layoffs”. Osiemdziesiąt procent badanych organizacji redukowało zatrudnienie po wdrożeniu AI, i robiły to w dokładnie takim samym tempie firmy z wysokim ROI, jak i te z zerowym lub ujemnym ROI. Okazuje się więc, że cięcia etatów pozostają poza mechanizmem zwrotu z inwestycji w AI i nie temu służą.
Organizacje, które tną etaty operacyjne z założeniem, że AI przejmie wydajność, kalibrują minimalne zatrudnienie na podstawie normalnych warunków pracy z AI, a nie pod warunki stresowe, na przykład scenariusz awarii systemu lub sytuację, gdy model zwraca błędne wyniki, a nikt nie ma czasu lub wiedzy, by je zweryfikować.
Z perspektywy zarządzania ryzykiem operacyjnym i ciągłości działania to klasyczne budowanie słabości za zasłoną złudzenia efektywności. Granica bezpieczeństwa w zakresie zatrudnienia istnieje niezależnie od AI. AI może ją przesunąć, ale jej nie zlikwiduje. Organizacje zazwyczaj odkrywają, gdzie ta granica się znajduje, dopiero gdy ją przekroczą.
Zarządzanie ryzykiem AI
Zarządzanie ryzykiem AI to stare, dobre zasady zarządzania ryzykiem operacyjnym zastosowane do nowego obszaru. Dwa wymiary tego ryzyka warto rozdzielić, bo wymagają różnych mechanizmów kontroli.
Pierwszy to zgodność z prawem. AI Act wprowadza klasyfikację systemów według poziomu ryzyka i nakłada obowiązki, które zależą od tego, w jakiej kategorii znajdzie się dane zastosowanie. System wspierający decyzje kredytowe, rekrutacyjne lub dotyczące dostępu do usług może trafić do kategorii wysokiego ryzyka, z wymogami dotyczącymi nadzoru człowieka, dokumentacji i jakości danych. Do tego dochodzi RODO, jeśli model przetwarza dane osobowe, oraz wymogi sektorowe, w tym DORA dla podmiotów finansowych, która traktuje dostawcę AI jako dostawcę usług ICT z całym reżimem zarządzania ryzykiem stron trzecich. Zgodność nie jest tu jednorazowym audytem. Jest stanem, który trzeba utrzymywać, bo zmienia się zarówno regulacja, jak i sam model, którego używacie.
Drugi wymiar bywa pomijany, a potrafi okazać się kosztowniejszy od grzywny regulacyjnej. To uzależnienie organizacji od jednego dostawcy AI, czyli vendor lock‐in. Kiedy procesy operacyjne, integracje i kompetencje zespołu zostają zbudowane wokół jednego modelu i jednego API, koszt zmiany dostawcy rośnie z każdym miesiącem. Prompty zoptymalizowane pod konkretny model, formaty wyjścia, na których oparto kolejne systemy, fine‐tuning wykonany na jednej platformie, to wszystko tworzy zależność, która nie pojawia się przy podpisaniu umowy, lecz narasta w trakcie jej trwania.
Ryzyko materializuje się w kilku scenariuszach, które warto mieć w rejestrze ryzyk, zanim się zdarzą. Dostawca podnosi ceny tokenów lub zmienia model rozliczeń, a Wy nie macie realnej alternatywy gotowej do wdrożenia. Dostawca wycofuje wersję modelu, na której opieracie procesy, i wymusza migrację w narzuconym terminie. Dostawca zmienia warunki przetwarzania danych albo lokalizację infrastruktury w sposób, który koliduje z Waszymi wymogami compliance. W każdym z tych przypadków decyzja zewnętrznego podmiotu zmienia warunki działania Waszej organizacji szybciej, niż jakikolwiek plan ciągłości działania przewidywał.
Mechanizm jest dokładnie ten sam, który znamy z zarządzania ryzykiem dostawców w innych obszarach. Koncentracja na jednym dostawcy krytycznej usługi jest pojedynczym punktem awarii (single point of failure), niezależnie od tego, czy mówimy o dostawcy chmury, łączności czy modelu językowego. Dojrzałe podejście zakłada projektowanie architektury w sposób, który pozwala zmienić dostawcę bez przebudowy całego procesu. W praktyce oznacza to oddzielenie logiki biznesowej od konkretnego API, utrzymywanie przenośności promptów i danych oraz świadomą ocenę, które zastosowania wymagają redundancji, a które mogą pozostać przy jednym dostawcy. Nie każdy proces wymaga drugiego źródła. Te krytyczne dla ciągłości działania wymagają go zawsze.
Organizacje, które potraktują AI jak każdą inną krytyczną zależność technologiczną, zyskają przewagę. Stanie się tak nie dzięki temu, że używają najbardziej zaawansowanych modeli AI, lecz dzięki temu, że będą wiedzieć, gdzie warto je zastosować, w jaki sposób bezpiecznie z nimi pracować i jak zachować zdolność do zmiany, kiedy zmienią się warunki.
Jeśli obawiacie się, że Wasza metodyka zarządzania ryzykiem operacyjnym potrzebuje odświeżenia, aby przygotować się na wdrożenie AI lub mieć pewność, że jesteście zgodni z AI Act, skontaktujcie się z nami.
