1-сторінкова політика використання AI для SMB

Подивившись, як 30+ засновників намагаються написати AI-політику, мій висновок такий: усе, що довше за одну сторінку, ніхто не читає, а все, що коротше за половину сторінки, ніхто не виконує. Золота середина — рівно одна сторінка.

Чому більшість AI-політик у SMB не працює?

Патерн стабільний. Засновник читає статтю про витік коду Samsung у ChatGPT, панікує, замовляє юристам AI-політику. Через шість тижнів приходить 17-сторінковий PDF із великими літерами в Defined Terms і посиланнями на ISO. Його розсилають один раз. Ніхто не читає. Працівники продовжують вставляти клієнтські дані в той самий AI-інструмент, що й до того.

Definition: Shadow AI — несанкціоноване використання AI-інструментів працівниками поза будь-якою офіційною політикою. За індустрійним опитуванням 2024, ~46% працівників завантажували конфіденційні дані в публічні AI-сервіси.

17-сторінкова версія оптимізована не під того читача. Її пишуть для гіпотетичного регулятора, який, можливо, прийде з аудитом через три роки. Писати треба для маркетинг-координаторки, яка має 30 секунд між нарадами і дедлайн.

Як виглядає 1-сторінкова політика насправді?

П'ять секцій. Без юрмови. Кожен рядок написаний так, щоб не-юрист міг діяти без додаткових питань.

Definition: Список дозволених інструментів — явний набір AI-продуктів, якими можна користуватись для роботи компанії, з призначеним owner'ом на кожен інструмент.

Definition: Заборонені класи даних — категорії інформації, які НІКОЛИ не можна вставляти в AI-інструменти, незалежно від зручності. Завжди включають клієнтську PII, фінанси, код під NDA і нерелізовану продуктову інформацію.

Copy/paste шаблон 1-сторінкової AI-політики

Це стартовий шаблон. Замініть текст у квадратних дужках, роздрукуйте на одній сторінці, додайте в company handbook, лінкніть з onboarding для нових співробітників.

[НАЗВА КОМПАНІЇ] AI USAGE POLICY — v1.0 — Дійсна з [ДАТА]

1. ДОЗВОЛЕНІ ІНСТРУМЕНТИ
Дозволено використовувати для робочих задач:
- [Tool 1, напр. ChatGPT Team — owner: IT]
- [Tool 2, напр. Claude for Work — owner: IT]
- [Tool 3, напр. GitHub Copilot — owner: Engineering]
Потрібен інший інструмент? Запит через [link to procurement form].
Особисті/free AI-акаунти для роботи компанії — НЕ дозволені.

2. ЗАБОРОНЕНІ ДАНІ
Ніколи не вставляйте в AI-інструменти:
- Персональні дані клієнтів (імена, email, телефони, адреси)
- Фінансові дані клієнтів (платіжна інформація, баланси)
- Код, позначений як конфіденційний або під NDA
- Нерелізовану продуктову інформацію, роадмапи, фінансові прогнози
- Дані співробітників (зарплати, performance reviews, медичне)
- Будь-що, чого ви не запостили б на публічному LinkedIn

3. ПРАВИЛА ПЕРЕВІРКИ
Кожен AI-output, який виходить за межі компанії (email, deliverable,
комміт, customer-facing контент), має бути перевірений людиною
перед відправкою. За output відповідає рев'юер, не AI.

4. АТРИБУЦІЯ
Не треба атрибутувати кожне AI-редагування. ТРЕБА розкривати участь AI коли:
- Створюєте публічний thought-leadership контент
- Генеруєте deliverables, які тарифікуються погодинно
- Подаєте роботу в регульований процес (юридичні документи, комплаєнс)

5. ЕСКАЛАЦІЯ
Не впевнені, чи дозволено — питайте, не вгадуйте.
Шлях: ваш менеджер → [AI Champion вашої команди] → [Policy Owner].
Підозра на витік даних? Сповістити [security@company] протягом 24 годин.

Policy owner: [Ім'я, роль]. Наступний перегляд: [дата, щоквартально].

Усе. Одна сторінка. Зверніть увагу, чого тут немає: ніякої філософії, ніяких "ми віримо, що AI augment'ить креативність", ніяких флоучартів. Тільки 5 секцій, які можна виконати.

Tool tip (Course for Business): На 6-week програмі когорта AI Champions (1:15-20) драфтує і тестує цю саму політику зі своєю командою на другому тижні — ДО будь-яких production deployments. Логіка Augment, don't replace проявляється прямо в секції правил перевірки: відповідає людина, а не AI. Далі кожного чемпіона ми проводимо через shoulder-to-shoulder hot seat, де він обробляє перші три edge-кейси своєї команди live. Більшість команд шипить v1 за сім календарних днів. Деталі програми: https://course.aiadvisoryboard.me/business.

Як це насправді розкочувати?

П'ять кроків, один тиждень:

1. День 1: Засновник драфтує v0, редагуючи шаблон вище. Максимум 30 хвилин.
2. День 2: Ревʼю з однією людиною з IT і одним team lead'ом. Підлаштувати список інструментів. Ще 30 хвилин.
3. День 3: Розсилка all-hands з 5-рядковим summary зверху.
4. День 4-5: Дві 15-хвилинні office-hour сесії для питань. Записати кожне "а що, якщо…" — це майбутній FAQ.
5. День 7: Фінальна v1.0 у handbook. Додати в onboarding.

Помилка, якої треба уникати — комітетний дизайн. Чим більше рев'юерів, тим гірша політика. Максимум три. Фінальне слово — за засновником.

Хороші vs погані рядки політики

Погано: "Працівники мають проявляти належне судження при використанні AI-інструментів продуктивності відповідно до цінностей компанії." Добре: "Не вставляй дані клієнтів у AI-інструменти. Сумніваєшся — спитай менеджера."

Погано: "AI-outputs підлягають відповідним процесам забезпечення якості." Добре: "Прочитай, що AI написав, перед тим як відправити. Відповідаєш ти."

Принцип простий: політика, для інтерпретації якої потрібен юрист, не виживе у вівторок після обіду.

Team scan (what AI champions report after week 1)

• ~85% персоналу читають політику, коли вона на одній сторінці; довші — менше ~30%
• Топ питання "а що, якщо…": "Можна використовувати особистий ChatGPT для брейнсторму без конфіденційних даних?" — відповідь у FAQ, не в політиці
• Чемпіони закривають більшість edge-кейсів; тільки ~10% ескалюються до засновника
• Найвища адопція — маркетинг, sales, customer support
• Один чемпіон на ~17 людей тримає sustainable навантаження по питаннях політики
• Перший виграш: shadow-AI знижується за два тижні — список дозволених інструментів прибирає виправдання
• Перший friction: інженери хочуть більше нюансів по коду — вирішено addendum на одну сторінку
• Перший виграш по атрибуції: маркетинг нарешті має чітку відповідь для thought-leadership
• Use case #1 у week-2 retro: "Я нарешті розумію, що дозволено"
• Зекономлений час менеджерів: ~2 години/тиждень на меншій кількості "is this OK?" у Slack

Micro-case (what changes after 7-14 days)

Professional services компанія на 90 людей запустила політику в понеділок. До п'ятниці IT отримала одинадцять нових запитів на доступ до інструментів через офіційну форму — вперше нею взагалі скористались для AI. Shadow-AI footprint, поміряний follow-up опитуванням через два тижні, помітно впав: більшість співробітників, які користувались особистими ChatGPT-акаунтами, мігрували на компанійський Team workspace. Юристка, яка спочатку лобіювала 20-сторінкову версію, підписала після того як побачила audit trail з approved-tools секції. Через 14 днів політику почали цитувати у Slack як відповідь на "можна мені зробити X через AI?" — найнадійніша ознака того, що вона стала операційною.

Note on this case: This example is illustrative — based on typical patterns we observe with companies of 30-500 employees, not a single named client. Specific numbers are rounded approximations of common ranges, not guarantees.

Tool tip (Course for Business): Політика — це половина роботи. Друга половина — щоб у кожного працівника були AI-скіли, щоб політикою можна було користуватись, інакше approved-tools список перетвориться на список незадіяних підписок. Наша 6-week програма поєднує rollout політики з когортою AI Champions (1:15-20) і структурованим Shoulder-to-Shoulder тижнем, щоб кожна команда зашипила своє перше AI-автоматизування в межах політики. Augment, don't replace — операційна рамка: політика каже "людина перевіряє кожен output", тренінг показує, як це робити швидко. Записатись на mapping-дзвінок: https://course.aiadvisoryboard.me/business.

FAQ

Чи потрібна окрема політика для кожного відділу? Ні. Одна компанійна політика + короткі addenda (по одній сторінці) для відділів зі специфічними потребами — зазвичай інженерія, юридичний, фінанси. П'ять основних секцій працюють для всіх.

Як часто переглядати? Щоквартально. Додавати нові інструменти у міру вердиктів, уточнювати приклади заборонених даних на основі реальних питань чемпіонів, оновлювати шляхи ескалації при змінах ownership. Тримати changelog внизу документа.

А контрактори і фрілансери? Включати. Додати один рядок у стандартний contractor agreement: "Contractor agrees to abide by [Company] AI Usage Policy v1.0, attached." Більшість контракторів і так користуються AI — краще, щоб вони були всередині межі вашої політики.

Чи треба згадувати конкретні frontier-моделі за іменами? Перелічуйте дозволені інструменти (ChatGPT, Claude, Copilot), але не прив'язуйтесь до конкретної версії моделі. Owner'и зі списку обробляють зміни версій — це їхня робота, не політики.

А EU AI Act? Для SMB 1-сторінкова політика зазвичай сумісна із загальними зобов'язаннями EU AI Act по general-purpose AI. Якщо у вас є high-risk use cases (HR-скринінг, кредитний скоринг, біометрика) — потрібна додаткова документація, але вона живе в окремому compliance-артефакті.

Висновок

1-сторінкова AI-політика — це не downgrade від 20-сторінкової, а upgrade. Довжина — ворог комплаєнсу. Чим коротша і конкретніша, тим вища ймовірність, що її прочитають, виконуватимуть і використовуватимуть як decision tool, а не сприйматимуть як юридичний театр.

Виберіть понеділок. Драфтніть v0 з шаблону за 30 хвилин. Зашипіть v1 до п'ятниці. Перегляньте через 90 днів на основі реальних питань.

Якщо хочете, щоб кожен співробітник зашипив своє перше AI-автоматизування в межах політики за п'ять днів — забронюйте 30-хвилинний дзвінок, і ми зробимо мапу першого тижня вашої команди: https://course.aiadvisoryboard.me/business.