Czego dowiesz się z tego odcinka?
- Zanim wdrożysz AI, sprawdź co masz w firmowych danych — firmy latami wycinały wartości odstające, mierzyły niekonsekwentnie, a część wiedzy trzymały w papierowych zeszytach. Jakie jeszcze problemy z danymi widzi Radek?
- Audyt to narzędzie doskonalenia, nie kara — firma, która nigdy nie miała niezgodności, dla auditora brzmi podejrzanie. Niezgodność to szansa na naprawę procesu, nie porażka organizacji.
- Certyfikacja ISO 42001 to nie jedyna opcja — i nie zawsze najlepsza — Podgórski zna firmy bez certyfikatu, które zdałyby audyt na sto procent. Wdrożyły normę jako wewnętrzne wytyczne, nie jako wymóg formalny.
- “Ktoś z compliance” nie wystarczy do wewnętrznego audytowania AI — osoba wyznaczona do oceny wdrożenia AI musi rozumieć zarówno normę, jak i technologię. Inaczej ocena będzie powierzchowna, a problemy wyjdą dopiero na audycie zewnętrznym.
- Doświadczony sceptyk to nie problem, to strażnik jakości. Zamiast walczyć z jego oporem, daj mu rolę osoby, która kwestionuje odpowiedzi modelu i wyłapuje błędy.
- Świadoma decyzja, nie życzeniowa — czy chodzi o AI, normę ISO czy transformację cyfrową. Jeśli wdrożenie stało się kulą u nogi, miej odwagę z niego zrezygnować. Każda zmiana w firmie wymaga świadomości, dojrzałości organizacyjnej i odpowiedzialności.
Słuchaj odcinka na Spotify i Apple Podcast 🎙️
Jak ocenić, czy dane w firmie są gotowe na AI?
Gotowość danych na AI zaczyna się od trzech pytań: co mierzysz, jak mierzysz i od kiedy. Radek Podgórski widzi w firmach powtarzające się problemy i większość z nich nie jest techniczna.
Pierwszy to spójność czasowa. Firma ma trzydzieści mierników, ale jeden z nich mierzy od roku, a resztę od pięciu lat. „To te dane będą spójne od roku. Nie od pięciu.” Model AI potrzebuje porównywalnych ciągów. Jeśli ich nie ma, predykcja opiera się na krótszym zbiorze niż firma zakłada.
Drugi to niespójność źródeł. Dane o tym samym procesie przychodzą z kilku systemów, które mierzą inaczej, w innych jednostkach, z inną częstotliwością. „Zupełnie nie wiadomo, co kto robi.” Zanim ktoś zbuduje model, musi najpierw uzgodnić, że „precyzja” w dziale produkcji i „precyzja” w dziale jakości to to samo słowo, ale o różnym znaczeniu.
Trzeci to brak danych historycznych. Model predykcyjny potrzebuje wzorców z przeszłości: awarii, odchyleń, sezonowości. Jeśli firma zaczęła zbierać dane dwa lata temu, AI nie cofnie się dalej.
Czwarty, i najciekawszy, to celowe wycinanie wartości odstających. „Ktoś z tych danych wyciął te przypadki, które dzisiaj będą stanowiły clue całej zabawy. My szukaliśmy tych outlierów, ale w danych były wycinane przez ostatnie dziesięć lat.” Wartości, które firma traktowała jako szum, mogą być dokładnie tym, czego model AI potrzebuje do wykrywania anomalii.
Piąty to dane niezdigitalizowane. Wiedza o awariach maszyn, wyjątkach produkcyjnych, decyzjach operacyjnych zapisywana w papierowym zeszycie, nigdy nieprzekształcona w dane cyfrowe.
Zanim firma wyda budżet na AI, warto przejść przez te pięć filtrów i uczciwie zinwentaryzować to, co naprawdę jest w danych.
Czym jest audyt ISO i jaką wartość daje firmie?
Audyt ISO to systematyczne sprawdzenie, czy firma działa tak, jak deklaruje, a nie kara za błędy. Radek Podgórski porównuje go do mechanizmów kontroli błędów w oprogramowaniu. „Produkcja oprogramowania to naprawdę gruba część kodu — to jest troubleshooting. Masa tego kodu jest po to, żeby sprawdzić, co się sypie i jak się sypie.” Jeśli software ma wbudowane mechanizmy kontroli, procesy biznesowe też powinny je mieć.
Podgórski zwraca uwagę na dwa mechanizmy, które podważają sens audytu od środka. Pierwszy to ustawianie mierników tak, żeby zawsze wychodziło “OK”. Firma deklaruje dopuszczalne straty 100 tys. zł miesięcznie, ale historycznie generuje 5 tys. Dlaczego próg tak wysoki? „Bo wtedy nawet jak zrobimy 20 tys., to jednego miesiąca przekroczyliśmy, ale jak weźmiemy sumę za wszystkie miesiące — to jest dobrze.” Pytanie audytora: „A gdzie tu jest ciągłe doskonalenie? No nie ma.”
Drugi mechanizm to strach przed niezgodnościami. Firma, która twierdzi, że nigdy nie miała niezgodności, budzi podejrzenia. „Mieliście jakieś niezgodności? Skąd? Nigdy? No dobra, to grzebiemy. Szukamy.” Niezgodność to nie porażka organizacji. To moment, kiedy firma dowiaduje się, jak coś naprawić. Działania korekcyjne naprawiają to, co się zepsuło. Działania korygujące zmieniają proces, żeby się nie powtórzyło.
Audyt to próbka, nie pełne sprawdzenie. Audytor nie przegląda każdego dokumentu i każdego procesu. Sprawdza wybrane obszary. „Oni tak kiepsko działają, a mają certyfikat. Jak to jest możliwe? No to jest właśnie ta próba.” Audytor mógł po prostu nie trafić na problemy.
Ale to nie jest argument przeciwko audytowi. Firma, która traktuje audyt poważnie, nie jako egzamin do zdania, a jako narzędzie wewnętrzne, naprawia problemy niezależnie od tego, czy audytor je znalazł. „Sprawdzamy skuteczność, nie to, czy tam jest tysiąc papierów — tylko czy to działa.”
Jakie są ścieżki przygotowania do ISO 42001?
ISO 42001 to norma dotycząca systemów zarządzania sztuczną inteligencją, opublikowana w 2023 roku. Nie jest obowiązkowa. A skoro to decyzja dobrowolna, to warto wiedzieć, na co firma się pisze i że certyfikacja to nie jedyna opcja.
Ścieżka A — pełna certyfikacja. Firma przechodzi przez punkty normy: kontekst organizacji z perspektywy AI (nie kopiować z ISO 27001, otoczenie AI jest inne), zaangażowanie kierownictwa, analiza ryzyk specyficznych dla AI (norma ISO 23894 jest tu lepsza niż ogólna 31000), zasoby i kompetencje, a na końcu punkt 8, czyli działania operacyjne. To jedyny punkt normy, którego nie da się skopiować z innej certyfikacji. Co mierzycie, jak, w jakiej roli, kto jest właścicielem procesu. Firma, która jest jednocześnie użytkownikiem LLM, wdrożeniowcem rozwiązania i dostawcą danych, może być audytowana trzykrotnie, z trzech perspektyw. Koszt utrzymania certyfikatu to czas, regularne audyty, ryzyko kolizji z innymi projektami.
Ścieżka B — norma jako wytyczne wewnętrzne, bez certyfikacji. Podgórski zna firmy, które wdrożyły procesy z ISO 22301 (ciągłość działania) jako wewnętrzny framework, bez certyfikatu. „Pytam ich dwa, trzy razy, czy na pewno tej normy nie mają. Mówią: nie. Ja mówię: gdybyście dzisiaj do audytu podchodzili — raczej byście go na sto procent zdali.” To samo można zrobić z ISO 42001 — przeanalizować wytyczne, uporządkować procesy i role, nie ponosząc kosztów certyfikacji.
Ścieżka C — hybryda z uznanych źródeł. Połączenie wytycznych z ISO, dyrektyw NIS i norm ECI. „Troszkę mamy taki miszmasz, ale to jest coś, co będzie nam się sprawdzało.” Warunek: źródła muszą być uznane i sprawdzalne. OWASP Top 10 — „proszę bardzo, działa, mnóstwo firm korzysta, audytor tego nie podważy.” Natomiast dobre praktyki z niepewnych źródeł — nie przejdą.
Niezależnie od ścieżki, Podgórski podkreśla, ze audytor sprawdza skuteczność, nie papier. „Czy to, co sobie narzuciliście w dokumentacji, to co robicie — czy to jest to?”
Kogo wyznaczyć do tematu AI w firmie?
Norma ISO 42001 wymaga kompetentnego audytora wewnętrznego. W praktyce firmy często wyznaczają kogoś z działu compliance. Osobę, która dobrze zna ISO 9001 albo ISO 27001, ale nie ma pojęcia o sztucznej inteligencji.
„Szef wyznaczył, jakiś lider zespołu: przymusowym ochotnikiem będziesz ty. No i wpadło. Ale ja w ogóle od czego innego jestem!” Ta osoba przychodzi na szkolenie i okazuje się, że ma ocenić transparentność modelu AI. „No i pojawiają się dwa słowa w zdaniu, którego nie rozumiem — transparentność i model. Co ja mam z tym zrobić?”
ISO 42001 siedzi na skrzyżowaniu dwóch światów: norm zarządzania i technologii AI. Norma powołuje się na około 28 innych norm i frameworków (ISO 22989, ISO 38507, ISO 23894, NIS i inne). Samo szkolenie trwa trzy dni. „Półtora dnia sama norma, a kolejne półtora dnia skaczemy po innych normach i tłumaczymy zależności.” Trudność nie wynika z długości normy, ale z gęstości odsyłaczy.
Na szkoleniach Podgórski świadomie odrzuca akademicki ton. „Staram się wytłumaczyć coś komuś jakby miał pięć lat. To nie ma być popis nomenklatury.” Chce, żeby uczestnik wyszedł z przeświadczeniem, że to nie jest trudne. „On powie: dzisiaj nic nie wiedziałem, a dwa lata od dzisiaj jestem ekspertem. To będzie mój sukces, bo ja go nie zniszczyłem, tylko zachęciłem.”
Wniosek dla liderów: osoba odpowiedzialna za AI w firmie nie musi być ekspertem od pierwszego dnia. Ale musi rozumieć zarówno język norm, jak i podstawy technologii. Inaczej audyt wewnętrzny będzie fikcją.
Co zrobić z doświadczonym pracownikiem, który nie ufa AI?
Pracownik z dwudziestoletnią praktyką, który mówi „wiem lepiej niż maszynka”, nie jest problemem do rozwiązania. Jest zasobem do wykorzystania. Podgórski proponuje dać mu rolę osoby, która kwestionuje odpowiedzi modelu.
„Ty możesz zadać dwa razy więcej pytań temu modelowi, bo ty byś podjął inną decyzję. Być może warto oddać takiemu człowiekowi troszeczkę większą rolę. I on będzie robił taki challenge dla tych AI-ów. Może wyłapie nawet bugi — i nową rolę mamy w firmie.”
Podgórski ilustruje to case’em analityków kredytowych. Dwóch pracowników, jedno zadanie. Ten współpracujący z AI udzielił pięciu kredytów — „ponieważ kryteria mówiły, że ma tyle udzielić. To jest systemowe podejście.” Ten bez AI udzielił dwudziestu — „bo tak mu się wydawało.” Na pierwszy rzut oka: ten bez AI jest wydajniejszy. Ale „z punktu widzenia dyscypliny pracy, ten pan połamał pewne przepisy.” Porównanie ich wyników jest bezcelowe, bo robili co innego. Jeden działał w ramach systemu, drugi poza nim.
To argument, którego lider może użyć w rozmowie z zespołem: AI nie zastępuje doświadczenia. Wprowadza systemowe podejście tam, gdzie wcześniej była intuicja. Doświadczony pracownik, który zna domenę lepiej niż model, staje się strażnikiem jakości odpowiedzi, nie przeciwnikiem wdrożenia.
Podgórski dodaje ludzki wymiar. „My jako zwierzątka stadne lubimy czynnik ludzki. Nauczycielka wie, jak do mnie podejść. Chatbot może mieć ograniczone podejście.” Model nie zastąpi relacji, kontekstu ani adaptacji do konkretnego człowieka.
Świadoma decyzja, nie życzeniowa — jedna rada auditora dla liderów przed wdrażaniem AI, norm i transformacji
Na pytanie o jedną radę dla liderów Podgórski odpowiada jednym słowem. Świadomość. Nie „technologia”, nie „dane”, nie „compliance”. Świadomość tego, co naprawdę wdrażasz, ile to kosztuje w utrzymaniu, ilu ludzi potrzebuje i jakie ma KPI. Czy to AI, norma ISO, czy transformacja cyfrowa.
„Być może ja nie miałem tej świadomości, że jest cała masa rzeczy z tym związana, która jest gdzieś obok, bo ja widzę to rozwiązanie, które w mojej wyobraźni po prostu cały czas fanfary, super wszystko. A potem się okazuje, że to się w ogóle nic nie składa.” Obietnica wygląda świetnie, a potem trzeba utrzymywać, szkolić ludzi, pilnować dryfu danych, sprawdzać czy odpowiedzi spełniają KPI.
Jeśli wdrożenie stało się kulą u nogi, miej odwagę z niego zrezygnować. „Jeżeli wdrożymy rozwiązanie, które będzie dla nas kulą u nogi — a często nawet w innych normach słyszę, że tak, to jest taki system, który w zasadzie jest dla nas kulą u nogi — to znaczy: zrezygnujcie z niego, on nie jest dla was dobry.”
Jagoda podsumowuje oś obu odcinków: „AI to nie tylko technologia, ale tutaj jest bardzo duże znaczenie świadomości ludzi, liderów, dojrzałości organizacyjnej i odpowiedzialności.” Podgórski potwierdza i dodaje: „Życzę każdemu liderowi, żeby podejmował świadomą decyzję i wyważył wszystkie za i przeciw. I nawet jeżeli tych przeciw będzie więcej, a on bardzo chce — to żeby przedstawił realny, a nie życzeniowy obraz.”
O gościu
Radek Podgórski jest Lead Auditorem w TÜV Nord Polska. Certyfikuje organizacje według ISO 27001, ISO 22301 i ISO 42001 — przeprowadził jeden z pierwszych akredytowanych certyfikatów ISO 42001 w Polsce. Prowadzi szkolenia z normy ISO 42001 dla audytorów wewnętrznych i osób odpowiedzialnych za AI w firmach.
