Firma za obezbeđenje koja koristi kamere sa prepoznavanjem lica. Agencija za zapošljavanje koja filtrira CV-ove pomoću AI-a. Računovodstveni biro koji koristi ChatGPT. Svima im treba isti standard - a većina za njega nikada nije čula.
Kada čujete “standard za upravljanje veštačkom inteligencijom,” prva asocijacija su verovatno Google, Microsoft ili OpenAI – kompanije koje prave AI. I tu većina ljudi stane i kaže: “To se nas ne tiče. Mi nismo IT firma.”
Ali ISO/IEC 42001 ne gleda ko ste. Gleda šta radite.
Standard jasno kaže – primenjiv je na organizacije koje razvijaju, pružaju ILI koriste proizvode i usluge zasnovane na veštačkoj inteligenciji. Ta treća reč – “koriste” – menja sve. Jer danas AI koristi praktično svako, često i ne znajući.
Tri priče iz prakse koje to ilustruju.
Priča 1: Firma za fizičko i tehničko obezbeđenje.
Zamislite kompaniju koja pruža usluge fizičkog i tehničkog obezbeđenja. Instalirali su moderan video nadzor za klijenta – sistem koji koristi AI za analitiku videa. Kamera prepoznaje kada se neko zadržava predugo ispred ulaza. Detektuje napuštene predmete. Razlikuje vozila od pešaka. Neke naprednije verzije rade i prepoznavanje lica.
Da li je ova firma “AI kompanija”? Ne. Ali koristi AI sistem koji donosi odluke koje direktno utiču na ljude – ko se označi kao “sumnjiv,” ko se prijavi obezbeđenju, čije lice se snima i analizira. Svaka od ovih odluka nosi rizik – od pogrešne identifikacije, preko diskriminacije (AI sistemi za prepoznavanje lica imaju dokumentovane probleme sa tačnošću kod određenih etničkih grupa), do kršenja privatnosti.
ISO 42001 zahteva da organizacija koja koristi ovakav sistem sprovede procenu uticaja AI-a, identifikuje rizike, uspostavi kontrole i obezbedi ljudski nadzor nad automatizovanim odlukama. Firma za obezbeđenje koja ovo implementira ne samo da smanjuje sopstveni rizik — već daje klijentu garanciju da se AI koristi odgovorno.
Priča 2: Agencija za iznajmljivanje osoblja.
Agencija za zapošljavanje prima 500 CV-ova mesečno. Ručno čitanje svakog bi trajalo nedeljama. Zato koriste softver koji automatski rangira kandidate – na osnovu ključnih reči, iskustva, obrazovanja, lokacije.
Ovo izgleda efikasno. Ali taj softver koristi AI model koji je treniran na istorijskim podacima. Ako su u prošlosti zapošljavani pretežno muškarci za određenu poziciju, AI može da nauči da preferira muške kandidate – ne zato što je programiran da diskriminiše, već zato što je naučio obrazac iz pristranih podataka. Ovo nije teorija – dokumentovani su slučajevi gde su AI sistemi za regrutaciju sistemski diskriminisali kandidate po polu, starosti ili etničkoj pripadnosti.
Član 22 GDPR-a kaže da pojedinac ima pravo da ne bude predmet odluke koja se zasniva isključivo na automatizovanoj obradi. Ako AI filtrira CV i kandidat nikada ne stigne do ljudskog oka – to je potencijalno kršenje.
ISO 42001 zahteva da organizacija proceni pravičnost AI sistema, identifikuje izvore pristrasnosti, obezbedi objašnjivost odluka (“zašto je ovaj kandidat odbijen?”) i uspostavi mehanizam ljudskog nadzora. Sam standard u Aneksu B (tačka B.5.4) eksplicitno zahteva procenu uticaja AI sistema na pojedince i grupe, uključujući “zapošljavanje i osposobljavanje osoblja” kao faktor koji se mora razmotriti. Ovo nije interpretacija – to je zahtev standarda. Za agenciju za zapošljavanje, ovo nije samo pitanje usklađenosti – to je pitanje reputacije. Jedan skandal sa diskriminacijom može da uništi godinama građeno poverenje klijenata.
Priča 3: Bilo koja firma koja koristi ChatGPT, Claude ili Gemini.
I evo priče koja se tiče svih.
Vaš zaposleni koristi ChatGPT da napiše ponudu za klijenta. Drugi koristi Claude da analizira ugovor. Treći koristi Gemini da prevede dokument. Niko ih nije pitao da li to smeju. Niko ne zna koji podaci odlaze na servere AI provajdera. Niko nije definisao pravila.
Ovo nije hipotetički scenario – ovo je realnost u većini kompanija u regionu danas.
ISO 42001 za ovaj slučaj ne zahteva složenu tehničku implementaciju. Zahteva nešto mnogo jednostavnije ali jednako važno – da organizacija donese svesnu odluku o tome kako koristi AI. Da definiše politiku, identifikuje rizike, i uspostavi pravila koja zaposleni razumeju i poštuju.
Šta ISO 42001 zapravo zahteva?
Standard je strukturiran po poznatom Annex SL modelu – isti okvir kao ISO 9001, ISO 27001, ISO 14001. Ako ste implementirali bilo koji od ovih standarda, struktura vam je poznata. Tačke 4 do 10 pokrivaju kontekst, liderstvo, planiranje, podršku, operacije, evaluaciju performansi i poboljšanje.
Ali ISO 42001 dodaje nešto što drugi standardi nemaju – specifične kontrole za AI, definisane u Aneksu A. Standard propisuje 38 kontrola organizovanih u 9 oblasti. Evo najvažnijih:
- AI politika i liderstvo. Organizacija mora da ima jasnu politiku korišćenja AI-a, a rukovodstvo mora da demonstrira posvećenost. Ovo ne znači dokument koji stoji u fioci – znači da direktor zna koji AI alati se koriste u firmi i koje rizike nose.
- Procena uticaja AI-a. Ovo je ono što izdvaja ISO 42001 od drugih standarda. Organizacija mora da sprovede procenu kako AI sistemi utiču na pojedince, grupe i društvo. Za firmu za obezbeđenje – kako video analitika utiče na privatnost? Za agenciju za zapošljavanje – da li AI stvara pristrasnost? Za bilo koju firmu – koji podaci odlaze AI provajderu?
- Procena rizika specifičnih za AI. Klasična procena rizika plus rizici specifični za AI – pristrasnost modela, kvalitet podataka za trening, objašnjivost odluka, nekontrolisana upotreba, zavisnost od provajdera.
- Životni ciklus AI sistema. Standard zahteva upravljanje od dizajna, preko implementacije i korišćenja, do povlačenja AI sistema. Čak i odluka da prestanete da koristite određeni AI alat treba da bude dokumentovana i kontrolisana.
- Transparentnost i objašnjivost. Ako AI donosi odluke koje utiču na ljude, te odluke moraju biti objašnjive. “AI je odlučio” nije prihvatljiv odgovor – ni za klijenta, ni za regulatora, ni za osobu na koju se odluka odnosi.
- Ljudski nadzor. Standard insistira da čovek ostane u procesu odlučivanja – posebno kod odluka sa značajnim uticajem. AI predlaže, čovek odlučuje. Ovo je princip koji GDPR već zahteva (član 22), a ISO 42001 ga operacionalizuje.
Kome je onda namenjen ISO 42001?
Standard sam odgovara na ovo pitanje nedvosmisleno u tački 1 (Područje primene): “Ovaj dokument je primenjiv na bilo koju organizaciju, bez obzira na veličinu, tip i prirodu, koja pruža ili koristi proizvode ili usluge koje upotrebljavaju AI sistemi.”
Aneks D standarda eksplicitno navodi sektore: zdravstvo, odbranu, transport, finansije, zapošljavanje i energetiku. Lista nije konačna – to su primeri koji pokazuju širinu primene.
ISO 42001 je već usvojen nacionalni standard u svim zemaljama regiona.
U praksi, to znači:
- Firmama za obezbeđenje koje koriste AI video analitiku i prepoznavanje lica.
- Agencijama za zapošljavanje koje koriste AI za screening kandidata.
- Računovodstvenim biroima koji koriste AI za analizu podataka.
- Advokatskim kancelarijama koje koriste AI za pregled ugovora.
- Proizvodnim firmama koje koriste AI za kontrolu kvaliteta.
- Bankama koje koriste AI za kreditni scoring.
- Bolnicama koje koriste AI dijagnostiku.
- I svakoj firmi u kojoj zaposleni koriste ChatGPT, Claude ili bilo koji drugi AI alat u svom radu.
Čak i ako ne pravite AI – ako ga koristite, ISO 42001 je za vas.
Veza sa EU AI Act-om – zašto je ovo hitno
EU AI Act, koji ulazi u punu primenu u avgustu 2026, klasifikuje AI sisteme po nivou rizika. Sistemi visokog rizika – a tu spadaju AI u zapošljavanju, obezbeđenju, kreditnom scoringu i pravosuđu – imaće obavezne zahteve za transparentnost, ljudski nadzor i procenu usklađenosti.
ISO 42001 je dizajniran da bude usklađen sa EU AI Act-om. Organizacije koje implementiraju standard sada biće u mnogo boljoj poziciji kada regulativa počne da se primenjuje. A za organizacije u regionu koje sarađuju sa EU klijentima ili se pripremaju za pristupanje – ovo je dodatna motivacija.
Praktičan prvi korak – ne morate sve odjednom
Nemate AI tim. Nemate budget za konsultante. Niste ni sigurni koji AI alati se koriste u vašoj firmi. To je OK – počnite sa jednim korakom.
Napravite inventar AI alata u organizaciji. Pitajte svaki tim – koji AI alati koristite? Za šta? Koje podatke ubacujete? Odgovori će vas verovatno iznenaditi. To je vaš prvi korak ka razumevanju rizika – i prvi korak ka ISO 42001.
Jer standard nije cilj sam po sebi. Standard je okvir koji vam pomaže da koristite AI pametno, odgovorno i sa punom svešću o tome šta radite. A u svetu gde AI postaje deo svakog radnog mesta – ta svest je najvrednija stvar koju možete da imate.