Wiele organizacji chce dziś „wdrażać AI”. Znacznie mniej organizacji potrafi jednak precyzyjnie odpowiedzieć, co dokładnie rozumie przez AI, jakie elementy takiego systemu rzeczywiście podlegają ocenie, gdzie kończy się automatyzacja, a zaczyna autonomia, czym różni się predykcja od decyzji i dlaczego nie każde „inteligentne” narzędzie działa w ten sam sposób.
I właśnie tutaj zaczyna się realny problem.
Bo bez wspólnego języka nie da się skutecznie zarządzać ryzykiem, budować polityk, prowadzić audytu, zawierać dobrych umów z dostawcami ani wdrażać AI governance. Można co najwyżej stworzyć dokumenty, które brzmią profesjonalnie, ale nie dotykają rzeczywistego modelu działania systemu.
Dlatego ISO/IEC 22989 ma dużo większe znaczenie, niż mogłoby się wydawać na pierwszy rzut oka. To nie jest „tylko norma z definicjami”. To dokument, który porządkuje podstawowe pojęcia i koncepcje związane ze sztuczną inteligencją. A w praktyce oznacza to jedno: tworzy fundament pod odpowiedzialne, dojrzałe i skalowalne podejście do AI w organizacji.
Dlaczego w ogóle przygotowano ISO/IEC 22989
Sztuczna inteligencja jest obszarem wyjątkowo interdyscyplinarnym. Łączy informatykę, data science, matematykę, nauki społeczne, językoznawstwo, biznes, prawo, cyberbezpieczeństwo i zarządzanie. Każda z tych dziedzin wnosi własny aparat pojęciowy. W efekcie te same terminy bywają rozumiane odmiennie przez różne zespoły.
To bardzo szybko przekłada się na praktykę organizacyjną. Zespół techniczny mówi o modelu, danych treningowych, walidacji i inferencji. Dział prawny analizuje obowiązki informacyjne, role podmiotów, odpowiedzialność i ryzyko. Compliance oczekuje kontroli, nadzoru, rozliczalności i spójnych definicji. Zarząd chce wiedzieć, czy system jest bezpieczny, przewidywalny i zgodny z regulacjami.
Jeżeli te grupy nie operują wspólnym językiem, zaczynają używać tych samych słów do opisywania różnych zjawisk. A to oznacza chaos.
ISO/IEC 22989 powstała właśnie po to, aby ten chaos uporządkować. Norma ustanawia terminologię dla AI i opisuje podstawowe koncepcje z tego obszaru. Jej celem jest wsparcie komunikacji pomiędzy różnymi interesariuszami oraz stworzenie wspólnej podstawy dla kolejnych standardów, praktyk i ram zarządczych. To bardzo ważne: standard nie został przygotowany wyłącznie dla inżynierów. Jest przeznaczony dla szerokiego grona odbiorców, również tych, którzy nie są praktykami technologicznymi.
Problem nie polega tylko na definicjach. Problem polega na konsekwencjach biznesowych
W wielu organizacjach największym błędem nie jest brak entuzjazmu wobec AI, ale brak precyzji. Systemy są wdrażane szybciej niż powstaje zdolność do ich prawidłowego opisania, sklasyfikowania i nadzorowania.
To nie jest drobiazg terminologiczny. To kwestia operacyjna.
Jeżeli organizacja nie odróżnia modelu od systemu AI, danych treningowych od danych testowych, wyjaśnialności od transparentności, a rekomendacji od decyzji, to nie zbuduje sensownego systemu kontroli. Będzie miała procedury, ale nie będzie miała realnego zarządzania.
ISO/IEC 22989 pomaga temu zapobiec, bo porządkuje nie tylko pojedyncze definicje, lecz także relacje między nimi. Pokazuje, jak myśleć o AI w sposób spójny i technicznie poprawny, ale jednocześnie użyteczny dla biznesu, prawa i nadzoru wewnętrznego.
Co konkretnie porządkuje ta norma
Jednym z najważniejszych elementów ISO/IEC 22989 jest definicja systemu AI. Norma wskazuje, że jest to zaprojektowany system generujący takie wyniki jak treści, prognozy, rekomendacje lub decyzje dla określonych przez człowieka celów. To definicja niezwykle użyteczna, ponieważ od razu odcina wiele uproszczeń obecnych w debacie publicznej.
Po pierwsze, pokazuje, że AI nie jest magiczną „inteligencją”, ale systemem zaprojektowanym przez człowieka dla określonych celów. Po drugie, akcentuje, że rezultaty systemu mogą mieć różny charakter. Po trzecie, ustawia człowieka i jego cele jako punkt odniesienia.
Norma bardzo dobrze porządkuje również pojęcie „prediction”. W praktyce biznesowej słowo to bywa zawężane do przewidywania przyszłości. Tymczasem w rozumieniu ISO/IEC 22989 prediction to podstawowy rezultat systemu AI i nie musi dotyczyć przyszłości. Może oznaczać również klasyfikację obrazu, tłumaczenie tekstu czy wygenerowanie treści. Dla organizacji to istotne, bo pozwala trafniej opisać funkcję systemu i adekwatnie ocenić jego wpływ.
Bardzo ważne jest także uporządkowanie pojęć związanych z danymi. Norma rozróżnia między innymi training data, validation data, test data i production data. Dla zespołów technicznych jest to oczywiste. Dla biznesu, audytu i compliance już nie zawsze. A przecież właśnie te rozróżnienia mają znaczenie przy ocenie jakości rozwiązania, dokumentowaniu procesu rozwoju systemu i analizie ryzyk.
ISO/IEC 22989 pomaga odczarować AI i ogranicza antropomorfizację
Jedną z mocnych stron tej normy jest to, że sprowadza rozmowę o AI z poziomu marketingowych metafor na poziom precyzji.
Wprowadzenie do normy wyraźnie zaznacza, że używane w niej pojęcia, takie jak „inteligencja”, „wiedza”, „uczenie się” czy „decyzja”, nie mają służyć antropomorfizacji systemów AI. To bardzo ważne zastrzeżenie. W praktyce rynkowej zbyt łatwo przypisuje się systemom cechy ludzkie, co prowadzi do błędnych oczekiwań, nieadekwatnej oceny odpowiedzialności i przeceniania możliwości technologii.
Na tym tle szczególnie cenne jest wyjaśnienie pojęcia „knowledge”. Norma pokazuje, że w domenie AI wiedza nie oznacza ludzkiego rozumienia ani świadomości. Jest kategorią techniczną, odnoszącą się do uporządkowanej informacji wykorzystywanej do realizacji celu. To rozróżnienie ma znaczenie nie tylko filozoficzne. Ono wpływa na sposób, w jaki organizacja projektuje nadzór, komunikuje ograniczenia systemu i ustawia oczekiwania wobec dostawcy.
Co biznes realnie zyskuje dzięki ujednoliceniu pojęć wokół AI
Najważniejszą korzyścią jest lepsza jakość decyzji.
Wspólny język pozwala skuteczniej rozmawiać między działami. Ułatwia przygotowanie wymagań wobec dostawców, formułowanie zapisów umownych, projektowanie polityk wewnętrznych i ocenę ryzyka. Redukuje liczbę nieporozumień między zespołem technicznym a zarządczym. Zwiększa też dojrzałość organizacji w obszarze AI, bo pozwala przejść od ogólników do konkretnych kategorii zarządczych.
To ma znaczenie również dla audytu i compliance. Jeżeli organizacja korzysta z pojęć zdefiniowanych w uznanym standardzie międzynarodowym, łatwiej jej budować spójną dokumentację, matryce odpowiedzialności, kryteria oceny oraz mechanizmy kontroli. W praktyce oznacza to mniej uznaniowości i większą powtarzalność podejścia.
ISO/IEC 22989 porządkuje również role interesariuszy w ekosystemie AI. Omawia takie role jak provider, producer, customer, partner, auditor, evaluator czy subject. To wyjątkowo przydatne przy modelowaniu odpowiedzialności w łańcuchu dostaw, analizie relacji kontraktowych i ocenie, kto w praktyce odpowiada za konkretny etap życia systemu.
To może być bardzo dobry pierwszy etap budowania wiedzy o AI
Z perspektywy organizacji, która chce budować kompetencje w zakresie AI governance, ISO/IEC 22989 jest bardzo rozsądnym punktem startowym.
Nie dlatego, że daje gotowe odpowiedzi na wszystkie pytania. Nie daje. Ale dlatego, że porządkuje mapę pojęć, bez której dalsza droga staje się chaotyczna. To standard, który pomaga najpierw zrozumieć, co właściwie ma być przedmiotem zarządzania, zanim organizacja zacznie wdrażać polityki, kontrole, procesy oceny ryzyka i zasady nadzoru.
Jest to szczególnie wartościowe dla osób, które uczestniczą w projektach AI, ale nie są inżynierami ML. Dla prawników, compliance officerów, audytorów, menedżerów ryzyka, procurementu, bezpieczeństwa, HR czy członków zarządu taka norma może być realnym narzędziem edukacyjnym. Nie upraszcza nadmiernie tematu, ale daje uporządkowaną strukturę myślenia.
To także dobry sposób na budowanie wspólnego poziomu zrozumienia w organizacji. Zamiast szkolić każdy dział w oderwaniu od innych, można oprzeć komunikację i dokumentację na jednym, spójnym źródle pojęciowym.
Relacja między ISO/IEC 22989 a ISO/IEC 42001
Najprościej można ująć to tak: ISO/IEC 22989 daje język, a ISO/IEC 42001 daje system zarządzania.
ISO/IEC 22989 odpowiada na pytania: czym jest system AI, jakie są podstawowe koncepcje, jakie role występują w ekosystemie, czym różnią się kluczowe pojęcia techniczne i zarządcze. To warstwa fundamentalna, pojęciowa i architektoniczna.
Z kolei ISO/IEC 42001 jest standardem systemu zarządzania AI. Wchodzi na poziom organizacyjny i odpowiada na pytanie, jak ustanowić, wdrożyć, utrzymywać i doskonalić Artificial Intelligence Management System. Tam pojawiają się już kwestie polityki, ról, odpowiedzialności, planowania, nadzoru, monitorowania i ciągłego doskonalenia.
W praktyce oznacza to, że ISO/IEC 22989 i ISO/IEC 42001 nie konkurują ze sobą. One się uzupełniają.
Bez ISO/IEC 22989 organizacja może próbować wdrażać AI management system bez wspólnego rozumienia podstawowych pojęć. Efektem będzie formalizm i niespójność. Bez ISO/IEC 42001 sama znajomość terminologii nie przełoży się natomiast na realny system zarządzania. Jedno daje fundament językowy, drugie daje ramę operacyjną.
I właśnie dlatego warto patrzeć na ISO/IEC 22989 nie jak na dokument pomocniczy, lecz jak na pierwszy logiczny krok do dojrzałego AI governance.
Na koniec
W świecie AI bardzo łatwo zacząć od narzędzi, a zbyt późno zająć się znaczeniem pojęć. To błąd. Bo organizacja nie zarządza skutecznie tym, czego nie potrafi precyzyjnie nazwać.
ISO/IEC 22989 przypomina o rzeczy fundamentalnej: zanim zaczniemy mówić o zgodności, ryzyku, odpowiedzialności i systemach zarządzania AI, musimy najpierw ustalić wspólny język. Dopiero na takim fundamencie da się budować polityki, procedury, kontrole i realne zaufanie do technologii.
A to oznacza, że ta norma nie jest tylko dokumentem o terminologii. Jest jednym z pierwszych kroków do dojrzałego, odpowiedzialnego i biznesowo użytecznego podejścia do sztucznej inteligencji.
