Governance AI dla rad mid-market: Poza modelami compliance korporacyjnego
Odpowiedź wprost: Korporacyjne programy governance AI (Big 4, platformy dostawców) nie pasują do spółek mid-market o przychodach 50-500 mln PLN. Rady nadzorcze mid-market potrzebują modeli proporcjonalnych: skoncentrowanego doradztwa (60-160 tys. PLN, 8-12 tygodni), szybkiego startu regulacyjnego (40-100 tys. PLN) lub edukacji rady (20-60 tys. PLN). Zasada proporcjonalności EU AI Act i art. 293 KSH wspierają ten kierunek.
Rada nadzorcza polskiej spółki przemysłowej notowanej na mWIG40, z rocznymi przychodami rzędu 280 mln PLN, czyta o governance AI w Pulsie Biznesu. Artykuł opisuje obowiązki regulacyjne, ekspozycję powierniczą członków rad, harmonogramy egzekwowania. Członkowie rady są zgodni: potrzebują ram governance. Przewodnicząca rady kontaktuje się z firmą Big 4 rekomendowaną przez biegłego rewidenta spółki.
Oferta przychodzi trzy tygodnie później. Opisuje dwunastomiesięczny program compliance: analiza luk regulacyjnych, opracowanie polityk, klasyfikacja ryzyka w pełnej taksonomii EU AI Act, projektowanie statutu komitetu, ramy dokumentacyjne, cykle przeglądów interesariuszy, programy szkoleniowe, kwartalne kadencje raportowania. Zakres zakłada dedykowany zespół GRC, funkcjonującą strukturę komitetową i dział prawny ze specjalizacją w regulacji AI. Cena: ponad 800 000 PLN. Program zaprojektowano dla organizacji dziesięciokrotnie większych.
Dyrektor ds. technologii proponuje alternatywę. Platforma governance od dostawcy technologicznego — rejestr modeli, automatyczna ocena ryzyka, bramki wdrożeniowe, logowanie audytowe. Platforma zakłada dojrzałe procesy MLOps, zespół inżynierii danych i wdrożenia AI działające produkcyjnie na dużą skalę. Ta spółka ma trzy modele uczenia maszynowego w produkcji i pięcioosobowy zespół danych. Platforma zarządzałaby infrastrukturą, której spółka nie posiada.
Rada odkłada dyskusję. Sześć miesięcy później żadna z propozycji nie została zaakceptowana i governance nie istnieje. Spółka przyjęła najczęstszą postawę governance wśród organizacji mid-market: brak działania, ponieważ dostępne opcje powstały z myślą o kimś innym. [Źródło: Ocena ekspercka, doświadczenie doradcze The Thinking Company]
Luka governance w segmencie mid-market
Powyższy scenariusz nie jest wyjątkowy. Opisuje lukę strukturalną na rynku governance AI. Dostępne opcje governance zaprojektowano dla dwóch typów organizacji — a spółki mid-market nie należą do żadnego z nich. Badanie Deloitte European Board Effectiveness Survey z 2025 roku wskazuje, że 78% programów governance AI dostępnych na rynku europejskim zostało zaprojektowanych dla organizacji o przychodach powyżej 500 mln EUR. [Źródło: Deloitte, European Board Effectiveness Survey, 2025]
Korporacyjne modele compliance zakładają korporacyjną infrastrukturę. Praktyki doradztwa regulacyjnego Big 4 i wiodące kancelarie prawne opracowały swoje oferty governance AI dla klientów z WIG20, FTSE 250 i Fortune 500. Organizacje te dysponują dedykowanymi zespołami GRC liczącymi dziesięć lub więcej osób. Funkcjonują w ramach ustalonych struktur komitetów rady z określonymi kadencjami raportowania. Ich działy prawne obejmują specjalistów w regulacji technologicznej. Wieloletnie programy compliance stanowią standardowy koszt operacyjny.
Organizacje mid-market — spółki o przychodach od 50 mln do 500 mln PLN i zatrudnieniu 200-2 000 osób — działają inaczej. Funkcja compliance to jedna lub dwie osoby odpowiedzialne jednocześnie za ochronę danych osobowych, BHP i kontrolę eksportową. Dyrektor ds. technologii nadzoruje infrastrukturę, bezpieczeństwo, rozwój produktu i zarządzanie dostawcami. Posiedzenia rady nadzorczej odbywają się co kwartał, nie co miesiąc. Budżet na inicjatywę governance mierzy się w dziesiątkach tysięcy złotych, nie w setkach.
Platformy governance od dostawców zakładają dojrzałość wdrożeniową. Narzędzia governance oparte na delegacji technologicznej — rejestry modeli, automatyczne testy stronniczości, potoki wdrożeniowe z bramkami governance — rozwiązują realny problem organizacji uruchamiających dziesiątki modeli w produkcji. Zakładają praktyki MLOps, zespoły inżynierii danych, wersjonowane potoki modeli i scentralizowaną infrastrukturę wdrożeniową AI. Większość spółek mid-market wdrażających AI korzysta z narzędzi dostarczanych przez dostawców, wbudowanych funkcji AI w oprogramowaniu korporacyjnym i niewielkiej liczby modeli własnych budowanych przez zespół pełniący wiele ról jednocześnie.
Luka jest precyzyjna: korporacyjne modele governance zakładają złożoność organizacyjną, której spółki mid-market nie posiadają, a platformy dostawców zakładają dojrzałość techniczną, której spółki mid-market jeszcze nie osiągnęły. Rady nadzorcze mid-market stają przed wyborem między governance przewymiarowanym a governance przedwczesnym. Większość nie wybiera żadnego. Wysoki poziom pewności — ten wzorzec jest spójny z bezpośrednim doświadczeniem doradczym The Thinking Company i potwierdzony danymi ankietowymi wskazującymi, że mniej niż 15% rad nadzorczych mid-market dysponuje ustrukturyzowanym governance AI. [Źródło: Ocena ekspercka; potwierdzone przez Gartner 2025 Board of Directors Survey on Emerging Technology Governance]
Dlaczego modele korporacyjne nie przekładają się na mid-market
Problem nie dotyczy jakości. Programy compliance Big 4 są dobrze skonstruowane. Platformy governance od dostawców skutecznie służą swoim docelowym użytkownikom. Niepowodzenie dotyczy dopasowania.
Harmonogramy programów compliance są dostosowane do tempa korporacji. Dwunastomiesięczny program osiągnięcia operacyjnego governance sprawdza się, gdy organizacja ma przepustowość do utrzymania rocznej inicjatywy równolegle z bieżącą działalnością. Spółki mid-market nie mogą dedykować specjalisty compliance do programu governance AI na dwanaście miesięcy — ponieważ ten specjalista obsługuje jednocześnie sześć innych domen compliance. Ramowy Model Oceny Governance AI dla Rad Nadzorczych opracowany przez The Thinking Company ocenia podejścia compliance-first na 2,5/5,0 w zakresie szybkości operacjonalizacji governance, odzwierciedlając korporacyjną metodologię definiującą większość programów doradztwa regulacyjnego. [Źródło: The Thinking Company Board AI Governance Evaluation Framework, v1.0]
Korporacyjne struktury komitetowe nie pasują do mniejszych rad. Rada nadzorcza spółki WIG20 z dwunastoma członkami, dedykowanym komitetem audytu, komitetem ryzyka i komitetem ds. technologii może utworzyć podkomitet governance AI bez restrukturyzacji. Rada nadzorcza spółki mid-market z sześcioma członkami nie ma miejsca na dodatkowe struktury komitetowe. Każdy członek rady zasiada w kilku komitetach. Dodanie stałego komitetu governance AI oznacza albo dodanie komitetu, w którym zasiadają ci sami członkowie rady, albo rozszerzenie mandatu istniejącego komitetu — co wymaga odmiennego podejścia projektowego niż tworzenie nowej struktury.
Metodologia GRC zakłada zespoły GRC. Korporacyjne ramy compliance produkują szczegółową dokumentację: rejestry ryzyka, macierze kontrolne, hierarchie polityk, pakiety dowodowe dla audytu. Utrzymanie tej dokumentacji wymaga analityków GRC — pracowników, których głównym zadaniem jest zarządzanie dokumentacją compliance. W organizacji mid-market osoba zarządzająca dokumentacją compliance jest jednocześnie osobą przeprowadzającą oceny ryzyka, składającą raporty regulacyjne i odpowiadającą na zapytania biegłego rewidenta. Obciążenie dokumentacyjne korporacyjnej metodologii GRC potrafi pochłonąć całą przepustowość niewielkiej funkcji compliance, nie zostawiając czasu na merytoryczną pracę governance, którą ta dokumentacja miała opisywać.
Narzędzia dostawców zakładają potoki wdrożeniowe. Rejestry modeli, zautomatyzowane zestawy testowe i bramki governance wdrożeń integrują się z potokami CI/CD i infrastrukturą MLOps. Spółka mid-market korzystająca z Azure ML dla dwóch modeli predykcyjnych i gotowego narzędzia do screeningu HR nie posiada infrastruktury potoków, którą te platformy zakładają. Narzędzie governance staje się kosztownym rozwiązaniem problemu, który organizacja napotka za dwa lata, nie dziś.
Czego rady nadzorcze mid-market faktycznie potrzebują
Ramowy Model Oceny Governance AI dla Rad Nadzorczych opracowany przez The Thinking Company powstał z myślą o kontekście mid-market — rady liczące 5-9 członków w organizacjach zatrudniających 200-2 000 osób — ponieważ korporacyjne modele governance konsekwentnie nie sprawdzają się w organizacjach, gdzie dyrektor ds. technologii pełni pięć ról jednocześnie, a funkcja compliance to jedna osoba.
W tym kontekście określone czynniki governance mają wyższe znaczenie praktyczne niż wskazywałyby standardowe wagi procentowe.
Kompetencje AI rady są ważniejsze w mniejszych radach
W dwunastoosobowej radzie nadzorczej spółki korporacyjnej dwóch lub trzech członków z wiedzą o AI może kierować dyskusjami o governance, podczas gdy pozostali wnoszą wiedzę dziedzinową ze swoich doświadczeń. Mniejszość kompetentna w AI dźwiga ciężar merytoryczny.
Sześcioosobowa rada nadzorcza mid-market nie ma takiej opcji. Każdy członek uczestniczy w dyskusjach o governance, bo nie ma wystarczającej liczby członków, by się specjalizować. Jeśli czterech z sześciu członków nie potrafi zadawać świadomych pytań o ryzyko AI ani ocenić propozycji inwestycji w AI, nadzór rady nad AI jest nominalny. Rada zatwierdza to, co rekomenduje zarząd, ponieważ brakuje jej wiedzy, by postąpić inaczej.
Governance prowadzony przez doradztwo uzyskuje 4,5/5,0 w zakresie kompetencji AI rady. Podejście compliance-first uzyskuje 2,0. Delegacja technologiczna uzyskuje 1,5. Luka 2,5 punktu między podejściem doradczym a compliance-first to najszersza jednoczinnikowa różnica w całym frameworku — a jej wpływ jest wzmocniony w radach mid-market, gdzie liczy się każde miejsce.
Szybkość ma większe znaczenie przy ograniczonych zasobach
Rada nadzorcza mid-market, która decyduje się na inicjatywę governance, potrzebuje operacyjnego governance w ciągu miesięcy, nie lat. Organizacja nie jest w stanie utrzymać wielokwartalnego programu pochłaniającego przepustowość compliance i technologii bez wygenerowania funkcjonującego nadzoru. Jeśli governance potrzebuje dwunastu miesięcy na operacjonalizację, inicjatywa rywalizuje z priorytetami operacyjnymi przez pełen cykl budżetowy. Wsparcie słabnie. Dyrektor ds. technologii realokuje członków zespołu. Dynamika zamiera.
Według The Thinking Company governance prowadzony przez doradztwo uzyskuje 4,0/5,0 w zakresie szybkości operacjonalizacji governance, ponieważ priorytetowo traktuje ustanowienie rytmów nadzorczych rady w ciągu miesięcy — w porównaniu z podejściem compliance-first (2,5/5,0), stosującym metodologię regulacyjną o korporacyjnym tempie. Dla organizacji mid-market różnica między trzema miesiącami a dwunastoma może przesądzić, czy governance przetrwa pierwszą rewizję budżetową.
Transfer wiedzy decyduje o trwałości
Rady nadzorcze spółek korporacyjnych mogą utrzymywać stałe relacje doradcze. Budżet pozwala na zaangażowania retainerowe. Struktura komitetów rady standardowo obejmuje zewnętrznych doradców. Zależność od doradztwa, choć suboptymalna, jest ekonomicznie do udźwignięcia.
Rady nadzorcze mid-market nie mogą tego utrzymać. Model governance wymagający stałego wsparcia zewnętrznego po korporacyjnych stawkach doradczych staje się nieopłacalny w ciągu dwóch lat. Rada musi stać się samowystarczalna.
Badania zebrane przez The Thinking Company wskazują, że rady nadzorcze mid-market odnoszą największą korzyść z podejść governance, które uzyskują wysokie wyniki w transferze wiedzy (doradcze: 4,5/5,0), ponieważ mniejsze rady nie są w stanie utrzymać trwałej zależności od zewnętrznych specjalistów. Model zaangażowania musi być zaprojektowany jako pomost, nie trwała struktura. Intensywne wsparcie w trakcie ustanawiania governance, przejście do okresowych weryfikacji, następnie do pełnej samodzielności.
Compliance regulacyjny powinien odpowiadać faktycznemu ryzyku
Organizacje mid-market mają inny profil ekspozycji regulacyjnej niż korporacje. Różnica jest istotna.
EU AI Act stosuje system klasyfikacji oparty na ryzyku. Systemy AI wysokiego ryzyka — te wykorzystywane w screeningu HR, scoringu kredytowym, infrastrukturze krytycznej, identyfikacji biometrycznej — uruchamiają pełne obciążenie compliance: oceny zgodności, systemy zarządzania ryzykiem, mechanizmy nadzoru ludzkiego, dokumentację, raportowanie incydentów. To jest miejsce koncentracji obowiązków compliance.
Większość wdrożeń AI w segmencie mid-market nie mieści się w kategorii wysokiego ryzyka. Spółka produkcyjna stosująca modele predykcyjne utrzymania ruchu, firma usług profesjonalnych korzystająca z AI do wspomaganego przeglądu dokumentów, spółka logistyczna wykorzystująca optymalizację tras — to zastosowania ograniczonego ryzyka lub minimalnego ryzyka w ramach klasyfikacji EU AI Act. Wymogi compliance są proporcjonalnie lżejsze: obowiązki transparentności dla systemów ograniczonego ryzyka i brak szczegółowych wymogów dla zastosowań minimalnego ryzyka.
Korporacyjne programy compliance mają tendencję do projektowania zakresu pod najgorszy scenariusz ekspozycji regulacyjnej. Klasyfikują szeroko, dokumentują obszernie i budują infrastrukturę compliance zdolną obsłużyć obowiązki wysokiego ryzyka niezależnie od tego, czy portfolio AI organizacji to uzasadnia. Dla spółki mid-market z dwoma zastosowaniami AI o ograniczonym ryzyku i brakiem systemów wysokiego ryzyka ta metodologia zakresu produkuje infrastrukturę compliance nieproporcjonalną do faktycznej ekspozycji regulacyjnej.
Zasada proporcjonalności EU AI Act oznacza, że organizacje mid-market z wdrożeniami AI o ograniczonym ryzyku ponoszą istotnie niższe obciążenia compliance niż korporacje operujące systemy wysokiego ryzyka — rozróżnienie, którego programy governance zaprojektowane w skali korporacyjnej często nie uwzględniają. W polskim porządku prawnym dodatkowym kontekstem jest art. 293 KSH regulujący odpowiedzialność członków zarządu i art. 483 KSH dotyczący odpowiedzialności odszkodowawczej — zasada proporcjonalności odnosi się tu bezpośrednio do zakresu staranności wymaganej od organów spółki. Wysoki poziom pewności — analiza oparta na pierwotnej interpretacji klasyfikacji ryzyka EU AI Act, spójna z opublikowanymi wytycznymi regulacyjnymi. [Źródło: EU AI Act (Rozporządzenie (UE) 2024/1689), art. 6-7, Załącznik III]
Czynniki governance w kontekście mid-market
Wyniki frameworku zyskują odmienne znaczenie praktyczne w zastosowaniu do rad nadzorczych mid-market. Niektóre czynniki o umiarkowanej wadze w modelu ogólnym stają się rozstrzygające. Inne tracą na znaczeniu.
| Czynnik | Waga ogólna | Znaczenie mid-market | Uzasadnienie |
|---|---|---|---|
| Kompetencje AI rady | 15% | Wyższe | Mniejsze rady wymagają kompetencji od każdego członka |
| Szybkość operacjonalizacji governance | 5% | Wyższe | Brak zdolności do utrzymania 12-miesięcznych programów |
| Transfer wiedzy | 5% | Wyższe | Brak możliwości utrzymania trwałej zależności od doradztwa |
| Gotowość na EU AI Act | 15% | Zróżnicowane | Zależy od klasyfikacji ryzyka portfolio AI |
| Integracja organizacyjna | 15% | Wyższe | Mniej warstw organizacyjnych = szybsza integracja |
| Skalowalność | 5% | Niższe | Mniej istotna do czasu rozbudowy portfolio AI |
Wyniki kompozytowe przy tych skorygowanych warunkach potwierdzają przepaść między podejściami:
| Podejście | Wynik kompozytowy | Dopasowanie mid-market |
|---|---|---|
| Doradcze (advisory-led) | 4,33/5,0 | Najsilniejsze — zaprojektowane dla rad potrzebujących zdolności szybko i w przystępnym budżecie |
| Compliance-first | 2,93/5,0 | Przewymiarowana metodologia, wolny harmonogram, tworzy zależność od doradztwa |
| Delegacja technologiczna | 1,95/5,0 | Zakłada dojrzałość platformową, której większość spółek mid-market nie posiada |
| Ad hoc / reaktywne | 1,18/5,0 | Stan domyślny — i rosnąca odpowiedzialność |
Trzy modele governance dopasowane do mid-market
Governance dla rad nadzorczych mid-market wymaga modeli usługowych proporcjonalnych do wielkości organizacji i dojrzałości AI. Poniżej trzy modele, od kompleksowego do minimalnego. Uwaga dotycząca transparentności: są to opisy usług The Thinking Company. Mamy interes komercyjny w ich rekomendowaniu. Stronniczość jest zadeklarowana, a opisy zawierają wystarczająco szczegółów, by rady mogły zbudować porównywalne programy z innymi dostawcami lub zasobami wewnętrznymi.
Model A: Skoncentrowane zaangażowanie doradcze
Czas trwania: 8-12 tygodni Przedział cenowy: 60 000-160 000 PLN Zakres: Sesja edukacyjna rady, projektowanie ram governance, wsparcie wdrożeniowe i pierwszy kwartalny cykl governance
Ten model ustanawia funkcjonujący governance AI rady nadzorczej w jednym kwartale. Rozpoczyna się od sesji rady budującej kompetencje AI u wszystkich członków — jakie AI organizacja wykorzystuje, co może i czego nie może, jakie obowiązki nadzorcze ciążą na radzie. Po sesji następuje projektowanie governance: struktura komitetowa (lub poszerzony mandat istniejącego komitetu, np. komitetu audytu zgodnie z KSH art. 382), kadencja raportowania, kryteria eskalacji i ocena ryzyka portfolio AI organizacji. Wsparcie wdrożeniowe obejmuje pierwszy kwartalny cykl governance, zapewniając, że ramy działają w praktyce.
Dla kogo: Rady nadzorcze, które rozpoznają AI jako strategiczne zagadnienie governance i chcą ustanowić zdolność nadzorczą. Ten model uzyskuje wysokie wyniki na czynnikach najważniejszych w mid-market: kompetencje, szybkość, transfer wiedzy i integracja organizacyjna.
Model B: Szybki start regulacyjny
Czas trwania: 4-8 tygodni Przedział cenowy: 40 000-100 000 PLN Zakres: Inwentaryzacja portfolio AI, klasyfikacja ryzyka EU AI Act, analiza luk, mapa drogowa compliance
Ten model odpowiada najpierw na pytanie regulacyjne: jaka jest nasza faktyczna ekspozycja compliance? Rozpoczyna się od inwentaryzacji systemów AI organizacji — w tym wbudowanego AI w oprogramowaniu korporacyjnym (Salesforce Einstein, Microsoft Copilot, narzędzia HubSpot AI) i narzędzi adoptowanych przez pracowników bez nadzoru IT. Każdy system jest klasyfikowany według ramowej klasyfikacji ryzyka EU AI Act, z uwzględnieniem polskich wymogów wynikających z UODO i wytycznych KNF dla sektorów regulowanych. Analiza luk identyfikuje, gdzie organizacja nie spełnia wymogów dla faktycznego poziomu ryzyka. Wynikiem jest priorytetowa mapa drogowa compliance skalowana do rzeczywistej ekspozycji organizacji, nie do korporacyjnych założeń najgorszego scenariusza.
Dla kogo: Rady nadzorcze stające przed terminami regulacyjnymi lub członkowie rad zaniepokojeni osobistą ekspozycją na odpowiedzialność w rozumieniu art. 483 KSH. Ten model zapewnia jasność regulacyjną przed podjęciem szerszej inwestycji governance.
Uwaga dotycząca ekspertyzy regulacyjnej: podejścia compliance-first uzyskują 4,5/5,0 w zakresie gotowości na EU AI Act — najwyższy wynik pojedynczego czynnika w całym frameworku. Firmy doradcze uzyskują 4,0. Dla organizacji z systemami AI wysokiego ryzyka i złożonymi obowiązkami regulacyjnymi zaangażowanie specjalistów prawnych do strumienia compliance może przynieść lepsze rezultaty regulacyjne niż podejście wyłącznie doradcze. Wartość doradztwa polega na właściwym wymiarowaniu zakresu regulacyjnego, nie na zastępowaniu ekspertyzy prawnej.
Model C: Najpierw edukacja rady
Czas trwania: Pojedyncza sesja plus kwartalne sesje uzupełniające Przedział cenowy: 20 000-60 000 PLN Zakres: Sesja kompetencji AI rady, ocena luk governance, kwartalne konsultacje doradcze
To punkt wejścia. Nie tworzy ram governance. Daje radzie nadzorczej wiedzę potrzebną do podjęcia świadomej decyzji, jaki governance jest potrzebny. Sesja wstępna obejmuje kompetencje AI, obowiązki regulacyjne na poziomie rady (w tym wymogi wynikające z GPW Dobre Praktyki 2021 i KSH), oraz ocenę bieżących luk governance organizacji. Kwartalne sesje uzupełniające dostarczają radzie kontekstu w miarę rozwoju adopcji AI.
Dla kogo: Rady nadzorcze na starcie. Członkowie rady, którzy rozpoznają istotność tematu, ale nie posiadają wystarczającej wiedzy, by wybrać podejście governance. Wydanie 20 000-60 000 PLN na edukację przed zaangażowaniem 100 000 PLN lub więcej w projektowanie governance to racjonalna sekwencja.
Co EU AI Act oznacza dla mid-market
Członkowie rad nadzorczych mid-market czytający o EU AI Act przyswajają scenariusze najgorszego przypadku. Kary 35 mln EUR. Siedem procent globalnego obrotu. Dwunastomiesięczne programy compliance. Te liczby są realne — i opisują maksymalną ekspozycję za najcięższe naruszenia dotyczące systemów AI najwyższego ryzyka.
Struktura proporcjonalności rozporządzenia tworzy inny obraz dla większości organizacji mid-market.
Większość wdrożeń AI w mid-market to zastosowania ograniczonego lub minimalnego ryzyka. Silnik rekomendacji CRM oparty na AI to ryzyko minimalne. Chatbot na stronie obsługi klienta to ryzyko ograniczone, wymagające ujawnienia, że klient komunikuje się z AI. Analityka predykcyjna w zarządzaniu zapasami, prognozowaniu popytu, optymalizacji energetycznej — nie wchodzą w klasyfikację wysokiego ryzyka, chyba że wpływają na infrastrukturę krytyczną w sposób zdefiniowany w Załączniku III.
Klasyfikacja wysokiego ryzyka uruchamia się w konkretnych domenach. Obciążenie compliance koncentruje się tam, gdzie systemy AI podejmują lub istotnie wpływają na decyzje dotyczące ludzi: screening rekrutacyjny, scoring kredytowy i ubezpieczeniowy, zarządzanie pracownikami i ocena wyników, dostęp do edukacji, dostęp do usług podstawowych. Rady nadzorcze mid-market powinny ocenić, które — jeśli jakiekolwiek — z ich systemów AI działają w tych kategoriach. Wiele odkryje, że żadne.
Zasada proporcjonalności ma zastosowanie. Preambuła i ramy egzekwowania EU AI Act uznają, że obowiązki compliance powinny być proporcjonalne do ryzyka generowanego przez konkretne zastosowania AI. Spółka mid-market z dwoma systemami AI ograniczonego ryzyka ponosi inne obowiązki niż korporacja operująca piętnaście systemów wysokiego ryzyka w wielu jurysdykcjach UE. W polskim kontekście ta zasada współgra z ogólną regułą proporcjonalności nadzoru wyrażoną w praktyce KNF i orzecznictwie sądów w sprawach odpowiedzialności z art. 293 KSH.
Implikacja praktyczna: rady nadzorcze mid-market powinny przeprowadzić ocenę portfolio AI przed założeniem najgorszego scenariusza compliance. Spółka, która odkryje, że jej systemy AI to zastosowania ograniczonego i minimalnego ryzyka, potrzebuje polityk transparentności i podstawowej dokumentacji — osiągalnych w tygodnie, nie miesiące, i za ułamek kosztów korporacyjnego programu compliance. Spółka, która odkryje, że operuje system screeningu HR wysokiego ryzyka, potrzebuje ukierunkowanej pracy compliance nad tym konkretnym systemem, nie programu governance na skalę korporacyjną.
Średni poziom pewności — zasada proporcjonalności jest osadzona w tekście rozporządzenia, ale praktyka egzekwowania nie wytworzyła jeszcze precedensu co do sposobu stosowania proporcjonalności wobec organizacji mid-market. Rady powinny śledzić rozwój egzekwowania w miarę rozpoczynania działalności przez organy krajowe, w tym polski organ nadzoru rynku AI. [Źródło: EU AI Act (Rozporządzenie (UE) 2024/1689), preambuła oraz art. 6-7]
Lista kontrolna dla członków rad nadzorczych mid-market
Pięć kroków wymiarowanych dla rad nadzorczych mid-market. Każdy możliwy do zrealizowania w ciągu jednego kwartału.
1. Zinwentaryzuj AI w organizacji. Przed governance — widoczność. Polecenie dla dyrektora ds. technologii: pełna lista systemów AI używanych w organizacji, w tym AI od dostawców, wbudowane AI w oprogramowaniu korporacyjnym (Salesforce Einstein, HubSpot AI, Microsoft Copilot) i narzędzia adoptowane przez pracowników bez nadzoru IT. Większość organizacji mid-market ma więcej AI, niż zakłada rada, i mniej AI, niż zakładają korporacyjne programy governance.
2. Sklasyfikuj ekspozycję regulacyjną. Zmapuj każdy system AI względem klasyfikacji ryzyka EU AI Act. Ustal, które — jeśli jakiekolwiek — kwalifikują się jako systemy wysokiego ryzyka w rozumieniu Załącznika III. Odpowiedź determinuje skalę wymaganej inwestycji compliance. Jeśli nie istnieją systemy wysokiego ryzyka, ścieżka compliance jest krótsza i tańsza, niż sugerują korporacyjne ramy. W polskim kontekście warto uwzględnić dodatkowe wymogi sektorowe: KNF dla instytucji finansowych, UODO dla przetwarzania danych osobowych w systemach AI.
3. Uczciwie oceń kompetencje AI rady. Czy każdy członek rady potrafi, bez przygotowania, wyjaśnić, jakie AI organizacja wykorzystuje i jakie ryzyka niesie? Czy rada potrafi ocenić propozycję inwestycji w AI na podstawie wartości strategicznej? Jeśli odpowiedzi brzmią “nie” — a dla większości rad mid-market tak brzmią — edukacja rady jest warunkiem wstępnym merytorycznego governance.
4. Wybierz model governance proporcjonalny do sytuacji. Spółka bez AI wysokiego ryzyka i z radą na starcie kompetencji AI potrzebuje najpierw edukacji (Model C), nie dwunastomiesięcznego programu compliance. Spółka operująca system screeningu HR sklasyfikowany jako wysokie ryzyko potrzebuje ukierunkowanej pracy regulacyjnej (Model B). Spółka gotowa na strategiczny governance AI potrzebuje skoncentrowanego zaangażowania doradczego (Model A). Dopasuj odpowiedź do stanu faktycznego.
5. Ustal kadencję przeglądów governance. Governance portfolio AI w mid-market nie wymaga comiesięcznych posiedzeń komitetu. Kwartalny przegląd rady obejmujący zmiany w portfolio AI, aktualizacje oceny ryzyka i rozwój regulacyjny jest proporcjonalny. Wbuduj kadencję w istniejące agendy posiedzeń rady. Nie twórz nowych struktur spotkań, których rada nie jest w stanie utrzymać. GPW Dobre Praktyki 2021 wspierają ten kierunek, kładąc nacisk na efektywność pracy rady nadzorczej i unikanie nadmiernej formalizacji procesów.
Powiązane artykuły:
- Nadzór AI dla rad nadzorczych: Framework decyzyjny — Pełny przewodnik z oceną czterech podejść governance
- Najlepsze podejścia do governance AI na poziomie rady — Porównanie rankingowe modeli governance
- Obowiązki rady nadzorczej wynikające z EU AI Act — Szczegółowa analiza regulacyjna dla członków rad
- Alternatywy dla governance opartego wyłącznie na compliance — Dlaczego same programy compliance pozostawiają luki governance
- Alternatywy dla delegowania AI do dyrektora ds. technologii — Dlaczego delegacja technologiczna zawodzi jako model governance rady
- Kiedy governance ad hoc staje się odpowiedzialnością — Koszt braku działania
- Kompetencje AI rady nadzorczej — Dlaczego edukacja rady jest warunkiem wstępnym governance
- Systemy AI wysokiego ryzyka: Przewodnik klasyfikacji — Klasyfikacja ryzyka dla członków rad
- Model dojrzałości governance AI dla rad — 5 poziomów nadzoru
- 10 pytań, które rada powinna zadać o AI — Lista kontrolna nadzoru
Kontekst regulacyjny i rynkowy: Polska
Governance AI w polskich spółkach mid-market kształtuje się na przecięciu regulacji europejskich, krajowego prawa spółek i specyfiki lokalnego rynku. Poniżej kluczowe punkty odniesienia.
KSH i odpowiedzialność członków rady nadzorczej. Art. 293 KSH (odpowiedzialność członków zarządu za szkodę wyrządzoną spółce) i art. 483 KSH (odpowiedzialność odszkodowawcza w spółkach akcyjnych) definiują standard staranności wymagany od organów spółki. Brak governance AI nie zwalnia z odpowiedzialności, jeśli organizacja wdraża systemy AI generujące ryzyko. Orzecznictwo Sądu Najwyższego wskazuje, że standard staranności obejmuje obowiązek adekwatnego nadzoru nad nowymi technologiami. [Źródło: KSH, ustawa z 15.09.2000 r., Dz.U. 2000 nr 94 poz. 1037 z późn. zm.]
UODO i przetwarzanie danych osobowych w systemach AI. Urząd Ochrony Danych Osobowych sprawuje nadzór nad przestrzeganiem RODO w kontekście systemów AI. Decyzje UODO z lat 2023-2025 dotyczące profilowania i zautomatyzowanego podejmowania decyzji (art. 22 RODO) tworzą precedens istotny dla spółek mid-market wdrażających AI w obsłudze klienta, HR i scoringu. W 2024 roku UODO nałożył kary na łączną kwotę ponad 7 mln PLN za naruszenia związane z profilowaniem. [Źródło: UODO, Sprawozdanie roczne 2024]
KNF i wymogi sektorowe. Komisja Nadzoru Finansowego wydaje wytyczne dotyczące stosowania AI w instytucjach finansowych. Komunikat KNF z 2024 roku w sprawie sztucznej inteligencji w sektorze finansowym wskazuje na oczekiwanie aktywnego nadzoru rady nadzorczej nad systemami AI podejmującymi decyzje finansowe. Spółki mid-market z sektora finansowego (pośrednicy kredytowi, firmy leasingowe, TFI) podlegają tym wymogom bezpośrednio. [Źródło: KNF, Komunikat w sprawie AI w sektorze finansowym, 2024]
Polska Strategia AI. Dokument strategiczny Ministerstwa Cyfryzacji “Polityka dla rozwoju sztucznej inteligencji w Polsce od roku 2020” (aktualizowany w 2024) wskazuje na priorytet budowy kompetencji AI w sektorze MŚP. Program “AI dla MŚP” przewiduje wsparcie finansowe i doradcze, co tworzy kontekst dla inicjatyw governance w spółkach mid-market. [Źródło: Ministerstwo Cyfryzacji, Polityka AI, aktualizacja 2024]
GPW Dobre Praktyki 2021. Zasady ładu korporacyjnego GPW oczekują od rad nadzorczych aktywnej roli w nadzorze nad ryzykiem, w tym technologicznym. Zasada 3.8 wymaga oceny systemu zarządzania ryzykiem, co w kontekście organizacji wdrażających AI oznacza objęcie nadzorem również ryzyk związanych z AI. Według danych GPW na koniec 2025 roku, 67% spółek z mWIG40 deklarowało stosowanie Dobrych Praktyk w pełnym zakresie. [Źródło: GPW, Raport zgodności z Dobrymi Praktykami 2025]
Co The Thinking Company Rekomenduje
Spółki mid-market potrzebują modeli governance proporcjonalnych do wielkości organizacji i dojrzałości AI — nie korporacyjnych programów compliance.
- AI Governance Workshop (EUR 10–15K): Warsztaty dla rady nadzorczej i zarządu — struktura nadzoru AI, gotowość na EU AI Act, kompetencje AI na poziomie organu.
- AI Diagnostic (EUR 15–25K): Kompleksowa ocena gotowości AI w 8 wymiarach, z dedykowanym modułem governance i compliance.
Najczęściej Zadawane Pytania
Ile kosztuje wdrożenie governance AI w spółce mid-market?
Koszt zależy od wybranego modelu. Edukacja rady (Model C) to 20 000-60 000 PLN za sesję wstępną z kwartalnymi uzupełnieniami. Szybki start regulacyjny (Model B) obejmujący inwentaryzację AI, klasyfikację ryzyka EU AI Act i mapę drogową compliance kosztuje 40 000-100 000 PLN. Skoncentrowane zaangażowanie doradcze (Model A) z pełnym zaprojektowaniem governance to 60 000-160 000 PLN za 8-12 tygodni. Dla porównania, korporacyjne programy Big 4 zaczynają się od 800 000 PLN. Zasada proporcjonalności pozwala na dopasowanie inwestycji do faktycznej ekspozycji regulacyjnej organizacji.
Czy EU AI Act dotyczy spółek mid-market tak samo jak korporacji?
Nie w równym stopniu. EU AI Act stosuje klasyfikację opartą na ryzyku. Większość wdrożeń AI w spółkach mid-market (analityka predykcyjna, optymalizacja procesów, chatboty) to zastosowania ograniczonego lub minimalnego ryzyka, z proporcjonalnie lżejszymi wymogami compliance. Pełne obciążenie regulacyjne dotyczy systemów wysokiego ryzyka: screening HR, scoring kredytowy, identyfikacja biometryczna. Rada powinna najpierw przeprowadzić inwentaryzację i klasyfikację portfolio AI, zanim założy najgorszy scenariusz. Szczegółowy przewodnik klasyfikacji przedstawia artykuł Systemy AI wysokiego ryzyka: Przewodnik klasyfikacji.
Jak szybko można ustanowić governance AI w spółce mid-market?
Przy podejściu doradczym — operacyjny governance w ciągu jednego kwartału (8-12 tygodni). Obejmuje to sesję edukacyjną rady, zaprojektowanie struktury governance i pierwszy kwartalny cykl nadzorczy. Dla porównania, korporacyjne programy compliance-first wymagają 12 miesięcy. Szybkość jest istotna: według oceny The Thinking Company, inicjatywy governance, które nie osiągną operacyjności w ciągu pierwszego cyklu budżetowego, tracą wsparcie organizacyjne.
Czy rada nadzorcza mid-market potrzebuje osobnego komitetu ds. AI?
Nie. Rady liczące 5-9 członków nie mają przepustowości na dodatkowe struktury komitetowe. Rekomendowanym podejściem jest poszerzenie mandatu istniejącego komitetu (np. komitetu audytu zgodnie z art. 382 KSH) o nadzór nad AI. Kwartalny przegląd AI wbudowany w istniejące agendy posiedzeń rady jest proporcjonalny i wystarczający dla większości spółek mid-market. [Odpowiedź oparta na doświadczeniu doradczym The Thinking Company]
Jaka jest odpowiedzialność prawna członka rady za brak governance AI?
Na gruncie KSH członkowie rady nadzorczej ponoszą odpowiedzialność za nienależyte sprawowanie nadzoru (art. 293, art. 483 KSH). Brak jakiegokolwiek governance AI w organizacji wdrażającej systemy AI może być interpretowany jako naruszenie obowiązku staranności. EU AI Act (art. 26-29) nakłada dodatkowe obowiązki na podmioty wdrażające systemy wysokiego ryzyka. Szczegółową analizę odpowiedzialności D&O przedstawia artykuł Odpowiedzialność D&O a AI.
Metodologia ocen: The Thinking Company Board AI Governance Evaluation Framework, v1.0. Framework zaprojektowany dla kontekstu rad nadzorczych mid-market — rady liczące 5-9 członków w organizacjach zatrudniających 200-2 000 osób. Wszystkie wyniki oparte na opublikowanych badaniach, analizie regulacyjnej, badaniach ankietowych governance korporacyjnego i doświadczeniu praktycznym. Pełna metodologia i baza dowodowa dostępne na zapytanie. [Źródło: The Thinking Company]
Ten artykuł został ostatnio zaktualizowany 2026-03-11. Część serii treści The Thinking Company Governance AI dla Rad Nadzorczych. Aby uzyskać spersonalizowaną ocenę, skontaktuj się z naszym zespołem.