Każda firma ma politykę bezpieczeństwa IT. Politykę korzystania z internetu. Politykę dotyczącą urządzeń mobilnych. Te polityki powstały gdy pojawiły się nowe narzędzia — i każda firma która nie miała polityki email zanim email stał się powszechny, boleśnie odczuła brak reguł.
Agenty AI są tym samym inflection point. Firmy które wdrożą politykę zanim agenty staną się powszechne w organizacji — będą zarządzać zmianą. Firmy które poczekają — będą reagować na incydenty.
Czym jest corporate agent policy
Corporate agent policy to zestaw polityk organizacyjnych definiujących zasady korzystania z agentów AI w firmie — obejmujących co agenty mogą robić (dopuszczalne use cases), jakich danych mogą używać (klasyfikacja danych dostępna dla agentów), jak są tworzone i zatwierdzane (proces governance), kto jest odpowiedzialny za agenta (agent owner) i jak są monitorowane — analogia do polityki bezpieczeństwa IT w erze agentów.
Pięć obszarów corporate agent policy
Dopuszczalne use cases: które procesy mogą być obsługiwane przez agentów, które wymagają człowieka, które są zakazane. Typowe zakazane: agenty mające dostęp do systemów płatniczych bez human approval, agenty komunikujące się z klientami bez nadzoru, agenty modyfikujące dane produkcyjne bez review.
Klasyfikacja danych: jakie dane agenty mogą przetwarzać. Dane publiczne — wolno. Dane wewnętrzne — po zatwierdzeniu. Dane poufne klientów — tylko dla dedykowanych, zatwierdzonych agentów z audytem. Dane osobowe — zgodnie z GDPR, z ograniczeniami.
Proces tworzenia agentów: kto może budować agenty (każdy pracownik, tylko IT, wyspecjalizowany team), jak są zatwierdzane, jak są dokumentowane. Wymóg security review dla agentów z dostępem do systemów produkcyjnych.
Agent ownership: każdy agent ma właściciela — osobę lub dział odpowiedzialny za jego działanie, aktualizację i dezaktywację. Gdy właściciel odchodzi z firmy — agent jest automatycznie dezaktywowany lub przekazany.
Monitoring i incident response: jak incydenty agentowe są zgłaszane i obsługiwane. Kto jest powiadamiany gdy agent działa niezgodnie z oczekiwaniami.
Polityka a kultura
Polityka bez kultury to papier. Firma która ogłasza politykę AI bez szkolenia pracowników, bez przykładów, bez prostych do zrozumienia zasad — ma politykę którą nikt nie czyta i nikt nie stosuje.
Najlepsze corporate agent policies są krótkie (jedna strona A4 z zasadami), konkretne (przykłady dozwolonych i zakazanych use cases) i pozytywne (mówią co można, nie tylko czego nie można).
Microsoft AI Adoption Framework
Microsoft opublikował AI Adoption Framework dla organizacji wdrażających Copilot — zawiera szablony corporate agent policy jako punkt startowy. Gartner i Forrester mają własne frameworki. Dla polskich firm: dostosowanie do GDPR i polskiego prawa pracy jest obowiązkowe, bo europejskie regulacje są surowsze niż US-centric frameworki zakładają.