Natrag na Blog
ai
strategija
rizik
sigurnost
upravljanje

AI governance u praksi: Kako stvoriti održiva pravila i ubrzati inovaciju

Upravljanje rizicima umjetne inteligencije više nije isključivo pitanje usklađenosti, već ključ za održivu integraciju AI...

7 min read
||
U
Unknown

Moderni izazovi AI integracije: brzina bez straha od zaostajanja

Nekada se vodeće pitanje oko umjetne inteligencije (AI, artificial intelligence) svodilo na to treba li je uopće koristiti. Danas, u 2026. godini, poslovni lideri i menadžeri češće pitaju: "Imamo AI u sustavu, no nemamo jasna pravila. Jesmo li zbog toga u zaostatku ili izloženi rizicima?" Ovaj osjećaj brzo postaje univerzalan, neovisno o branši ili veličini tvrtke.

dijagram organizacijske strukture AI governancea

Vizualizacija uloga i toka odgovornosti

Iskustvo pokazuje da je AI već prisutan: od generativnih asistenta i internih chatbotova do modela koji ocjenjuju rizik i automatiziraju analize. Problem se javlja jer tehnička kontrola i governance nisu usklađeni s brzinom implementacije: AI rješenja se uvode brže nego što se razvijaju politike i organizacijski odgovori.

"Što je više AI alata u igri, to više trebamo jasnu strukturu – no bojimo se da će svaka 'pravila' usporiti inovaciju."
Takav dojam je, zapravo, pogrešan: dobro postavljen AI governance daje slobodu za inovaciju, a ne koči je.

AI je posvuda, a odgovornost raspršena: gdje je nastao jaz?

Tijekom posljednjih godina AI – i „klasični“ i generativni – iz eksperimentalnih faza prešao je u svakodnevni operativni rad. Prema najnovijim izvještajima (npr. Diligent, Liminal, Strobes), više od 70% organizacija koristi AI, dok svega petina ima definiranu formalnu strategiju upravljanja AI rizicima.1

Tipičan obrazac izgleda ovako: AI alati se koriste svakodnevno, ali ih se tretira kao obične aplikacije bez dodatnih pravila. Fenomen "shadow AI" – skriveno korištenje AI alata izvan znanja IT-a ili odjela za sigurnost – postaje sve učestaliji. To otvara vrata stvarnim sigurnosnim i poslovnim izazovima, jer brzina uvođenja nadmašuje razvoj politika i tehničkih kontrola. Ovdje više nije riječ samo o usklađenosti, nego i o praktičnoj zaštiti podataka, reputacije i intelektualnog vlasništva.

Tri razloga zašto AI governance postaje poslovna nužnost

Ako radite u operativi, možda ćete pomisliti: „Naš chatbot nema incidenata, zašto uvoditi novu razinu birokracije?“ U praksi, razlozi su jasni:

  • Rizici nisu svugdje jednaki. AI koji sažima interne dokumente nije isto što i model koji predlaže kreditne limite ili medicinske protokole. Stručnjaci (Liminal, NIST AI RMF) preporučuju pristup temeljen na riziku: kontrole prilagodite razini potencijalne štete.
  • Regulatorni zahtjevi dolaze. Novi europski AI propisi, međunarodni standardi (ISO/IEC 42001), te nacionalne smjernice stvaraju okvir s jasnim očekivanjima: dokumentacija, audit trail, transparentnost. Ne morate znati svaki članak, ali netko će vas sigurno pitati: "Kako štitite podatke i upravljate AI rizikom?"
  • Bez metrika nema održivosti. Skup pokazatelja (KPI-jevi) važan je za donošenje odluka: koliko je AI doista integriran, koliko incidenata se pojavljuje, koliko radnika je educirano – i isplati li se sve to.

Praktičan okosnica: od međunarodnih standarda do svakodnevne organizacije

Najčešće preporučeni okvir dolazi iz NIST AI RMF (National Institute of Standards and Technology AI Risk Management Framework), koji procese dijeli na četiri ključne faze:

  • Mapirajte: razumite kontekst, korisnike i okruženje svake AI implementacije.
  • Mjerite: procijenite tehnički, pravni, etički i operativni rizik.
  • Upravljajte: uvedite kontrole, procese i alate u skladu s identificiranim rizicima.
  • Upravljačko: postavite stalnu upravljačku strukturu, pravila i nadzor.

Model Liminala, koji uključuje sedam operativnih koraka, praktično „sjedne” na ovaj okvir i nudi smjernice kako proces organizirati unutar tipične regionalne organizacije:

  1. Inventar AI sustava i slučajeva uporabe
  2. Definiranje ciljeva i opsega
  3. Uspostava strukture upravljanja (komitet, RACI uloge)
  4. Razvoj politika i standarda
  5. Implementacija tehničkih kontrola
  6. Edukacija i promjena ponašanja
  7. Kontinuirani monitoring i poboljšanje

Praksa često pokazuje da se prvo kupi AI platforma, a tek onda razmišlja o pravilima. Ispravan redoslijed počinje s inventarom i analizom rizika – prvo mapirate, zatim razvijate rješenja.

Inventar i procjena: Što stvarno koristimo – i kako to klasificirati

Najviše se zanemaruje prvi korak: izrada inventara AI sustava i slučajeva korištenja. To nije samo popis softverskih alata, već i podataka:

  • Gdje se AI koristi (proces, odjel, lokacija)
  • Koje podatke koristi (osjetljivost, izvor)
  • Kakve odluke ili preporuke donosi
  • Tko je vlasnik ili odgovorna osoba

Na temelju ovog popisa gradi se matrica rizika: slučajevi se kategoriziraju kao niski, srednji, visoki ili neprihvatljivo rizični. Tako se određuje koje AI implementacije zahtijevaju najstrože kontrole i dodatni ljudski nadzor. Primjer: AI koji automatski rezimira objavljene, javne dokumente obično je niskog rizika, dok alat za automatizirane medicinske preporuke spada u visoki rizik i traži poseban nadzor.

Organizaciona odgovornost: Tko je za što stvarno zadužen

Bez jasno definiranih uloga, upravljanje AI-jem ostaje mrtvo slovo na papiru. Preporučuje se formirati AI Governance Committee, gdje su zajedno CISO (voditelj informacijske sigurnosti), CRO (voditelj rizika), pravni odjel, tehnologija, poslovne jedinice i, gdje je potrebno, etički savjetnici.

Ključne uloge uključuju:

  • AI Governance Lead: vodi i koordinira program
  • Model Owners: odgovorni za rad i sigurnost pojedinih modela
  • AI Champions: most između poslovanja i tehnike
  • Security Analysts: zaduženi za detekciju AI-specifičnih prijetnji
  • Compliance/Etics Advisors: usklađenost i etička komponenta

RACI matrica pomaže ukloniti zamku "svi su odgovorni, pa nitko nije". Kombinacija ovakvih struktura čini governance opipljivim i primjenjivim.

Politike i tehničke kontrole: Gdje pravila postaju svakodnevica

Ključne politike, prema Liminalu, čine jezgru governancea:

  • Prihvatljiva uporaba AI (što smije, što ne, kojom vrstom podataka)
  • Standardi za upravljanje i promptanje podataka
  • Razvojni standardi (testiranje, CI/CD, validacija)
  • Evaluacija dobavljača AI rješenja
  • Plan odgovora na AI incidente

Tehničke kontrole implementiraju ova pravila kroz konkretne mjere:

  • RBAC (kontrola pristupa) integrirano s postojećim IAM-om
  • DLP (prevencija gubitka podataka) za zaštitu promptova i izlaza
  • Centralizirani AI gateway za filtriranje zahtjeva i provedbu pravila
  • Audit logging s nemijenjivim tragom (tko je što pitao i kada)
  • Zaštita modela: adversarial testiranje, rate limiting, prevencija prompt injekcija i curenja podataka

Sve kontrole trebale bi se uklapati u postojeće sigurnosne procese (SIEM, sustavi za upravljanje incidentima).

Snalaženje među regulativama: Lokalni okvir kao prednost

AI regulativa postaje sve preciznija: EU AI Act s razinama rizika, nacionalni i sektorski propisi, te međunarodni standardi poput ISO/IEC 42001. Praktična preporuka je napraviti "regulatory mapping": identificirati koje regulative utječu na vas s obzirom na sektor i podatke, te ih povezati s praksama i dokumentacijom.

To obuhvaća:

  • tehničku dokumentaciju modela,
  • opis podataka i procesa treniranja,
  • evidenciju testiranja i promjena,
  • procjene utjecaja (gde je primjenjivo).

Napomena: Članak je informativan i ne zamjenjuje specijalizirani pravni ili financijski savjet.

Kultura, edukacija i borba protiv „shadow AI“

Bez odgovarajuće kulture i edukacije, najbolje tehnološke mjere neće biti dovoljne. Shadow AI nastaje jer zaposlenici, često iz najbolje namjere i radi povećanja produktivnosti, koriste vanjske AI alate bez znanja organizacije. Rješenje nije stroga zabrana, već jasna obuka i dostupna pravila.

  • Osnovna edukacija za sve (što je AI, osnovni principi sigurnosti i dopustivosti)
  • Napredna za ‘power usere’ i developere (promptanje, rad s modelima, upravljanje rizicima)
  • Strateška edukacija menadžera (vodilice KPI-jeva, rizici, okvir regulacije)

Učinkovitost se mjeri kroz stopu završetka obuke, broj incidenata i kršenja politika.

Operativna platforma za održivo upravljanje

Početna faza AI governancea često se odvija u tablicama i dokumentima, ali brzo postaje neodrživa. Suvremene platforme omogućuju centralizirani inventar AI rješenja, praćenje rizika i incidenta, jednostavno izvještavanje i povezivanje s postojećim alatima (DLP, IAM, SIEM...).

Za manje organizacije, nije nužno odmah ulagati u kompleksne alate – postupno širenje i integracija mogu biti održivo rješenje.

Sigurnosno testiranje i red-teaming: Provjera zaštite AI-a

Klasični testovi (penetracijski ili sigurnosni) ne pokrivaju sve posebne AI rizike. Zbog toga se uvodi red-teaming za AI sustave:

  • simulacije prompt injectiona, membership inferencea, pokušaji zaobilaženja zaštita,
  • ispitivanje mogućnosti model inversiona i “curenja” osjetljivih informacija,
  • redoviti ciklusi testiranja i implementacija naučenih lekcija.

Ovo nije puka formalnost, nego izravna provjera koliko su vaše politike i tehničke mjere učinkovite u realnosti.

Kako mjeriti koristi i uspjeh AI governancea

Bez jasnih KPI-jeva (ključnih pokazatelja), teško je znati donosi li AI više koristi ili rizika. Primjeri metrika:

  • stopa usvajanja AI alata u timovima,
  • broj i ozbiljnost AI incidenata,
  • MTTR (vrijeme od identifikacije do rješenja),
  • postotak educiranih zaposlenika,
  • rezultati audita unutarnje kontrole.

Dashboardi za upravu koriste se za dvosmjerno izvještavanje: uprava ne vidi samo rizike, nego i jasno mjerljive koristi – brža obrada, manji operativni rizici, povećana produktivnost uz kontrolirane rizike.

Praktični početni koraci: Minimizirajte birokraciju, maksimizirajte sigurnost

Otpor prema AI governanceu najčešće dolazi iz tri smjera: osjećaj birokratizacije, manjak stručnosti te ubrzane promjene koje čine pravila “zastarjelima”. Predloženi put je minimalan održivi governance i postepeno skaliranje.

Početna checklista za svaku organizaciju:

  • Inventar i klasifikacija svih AI sustava
  • Definicija osnovnih pravila prihvatljive uporabe
  • Jasan sustav vlasništva i odgovornosti
  • Uvođenje osnovnog AI gatewaya za nadzor
  • Implementacija osnovne DLP zaštite
  • Edukacija zaposlenika prema razini potrebe
  • Praćenje nekoliko ključnih KPI-jeva
  • Redovito ažuriranje politika i kontrola

Takav pristup omogućuje brzo napredovanje, jasniju komunikaciju i veću otpornost na buduće regulatorne i tehnološke promjene.

  1. Najnoviji izvještaji navode da oko 78% organizacija koristi AI, dok nešto manje od 20% ima definiranu governance strategiju. Ovdje su podaci ilustrativni; za detalje preporučujemo konzultirati originalne izvore.