Правила AI для сотрудников: чеклист пилота на 2 недели

Раздел

AI-агенты для бизнеса

Сложность

простая

Обновлено

2026-05-21

Короткий ответ

Правила AI для сотрудников можно проверить за две недели, если не пытаться сразу автоматизировать всю компанию. Выберите один отдел, три разрешенных сценария, список запрещенных данных, корпоративный или согласованный инструмент, канал вопросов и простой журнал. Через две недели станет понятно, где AI дает пользу, где сотрудники обходят правила и какой контур нужен дальше.

Первый пилот не должен быть скрытым экспериментом. Сотрудникам надо объяснить, зачем правила вводятся: не чтобы запретить помощь, а чтобы рабочие данные не уходили в личные чаты, а результаты AI не становились неподтвержденными обещаниями клиентам.

OWASP governance checklist предназначен для руководителей, cybersecurity, privacy, compliance и команд внедрения: OWASP checklist. Для пилота это значит: правила, роли и журнал важны не меньше, чем prompt.

Эта статья дополняет политику использования AI и создание AI-агента.

Неделя 0: подготовка

До старта нужно принять пять решений.

Не начинайте с “пусть все попробуют”. Такой пилот ничего не докажет. Вы получите много разрозненных впечатлений и мало управляемых данных.

Пример хорошего старта для продаж:

• AI помогает написать черновик письма без клиентских данных;
• AI проверяет структуру КП без цены и маржи;
• AI готовит список вопросов перед звонком;
• менеджер подтверждает все отправляемые тексты;
• красная зона запрещена.

Правила для сотрудников

Первый набор правил должен помещаться в одно сообщение.

1. Не вставляйте в AI персональные данные, договоры, цены, маржу, пароли и закрытую переписку.
2. Используйте только разрешенный инструмент.
3. Проверяйте факты, ссылки, цены и обещания перед отправкой клиенту.
4. Не выдавайте AI-текст за утвержденное решение компании.
5. Если сомневаетесь, отправьте вопрос владельцу пилота.

Эти правила слишком простые для зрелой политики, но они работают как стартовый барьер. Затем можно добавить роли, DLP, SSO, журналы, access control и локальные модели.

Yandex Cloud в разделе data privacy отдельно разделяет ответственность провайдера и клиента: клиент отвечает за классификацию данных, доступы и защиту на своей стороне: Yandex Cloud data privacy. Этот принцип полезен для любого AI-пилота: провайдер может дать функции безопасности, но компания все равно отвечает за то, какие данные отправляет.

Две недели пилота

День 1

Проведите короткий инструктаж. Покажите примеры “можно” и “нельзя” именно из работы отдела. Плохой пример: “не отправляйте конфиденциальную информацию”. Хороший пример: “не вставляйте КП с индивидуальной скидкой и маржой”.

Дни 2-5

Сотрудники используют AI только в разрешенных сценариях. Владелец собирает вопросы и отмечает попытки выйти за границы. На этом этапе нельзя ругать за вопросы: наоборот, они показывают, где политика непонятна.

Дни 6-10

Проверьте результаты: какие prompt повторяются, где AI ошибся, какие данные пришлось удалять, сколько черновиков приняли без правки, какие задачи сотрудники все равно делают в личных инструментах.

Дни 11-14

Примите решение: расширять, ограничить, менять инструмент или остановить. Если пользы нет, не растягивайте пилот ради красивого отчета. Если польза есть, оформите следующий контур: SSO, роли, журнал, шаблоны, интеграции.

Что измерять

Для пилота нужны и бизнес-метрики, и риск-метрики.

Не измеряйте “сколько prompt отправили”. Большое число запросов может означать как пользу, так и хаос. Лучше смотреть на задачи, правки, эскалации и запрещенные данные.

Решение после пилота

Есть четыре нормальных исхода:

1. Расширить сценарии, если польза и контроль подтверждены.
2. Оставить только один сценарий, если остальные рискованные.
3. Перейти в корпоративный или локальный контур, если нужна желтая зона.
4. Остановить пилот, если процесс не готов или данных слишком много.

NIST AI RMF полезен как рамка для таких решений: govern, map, measure, manage. Не надо внедрять весь фреймворк в малой компании, но логика здравая: назначить владельца, описать контекст, измерить риск и управлять им, а не верить демо.

Чеклист

• Выбран один отдел и один владелец пилота.
• Разрешены 2-3 сценария без автодействий.
• Есть список запрещенных данных.
• Сотрудники получили примеры из своей работы.
• Используется разрешенный инструмент.
• Все клиентские тексты проверяет человек.
• Есть канал вопросов и быстрые ответы.
• Фиксируются попытки красной зоны.
• Через 14 дней принято решение, а не “продолжаем смотреть”.
• Следующий этап включает роли, журнал и data boundary.

FAQ

Можно ли сделать пилот без IT?

Можно для учебных и текстовых задач без чувствительных данных. Но если появляются CRM, договоры, персональные данные или интеграции, IT и ИБ нужны до расширения.

Нужно ли сразу покупать корпоративный AI?

Не всегда. Сначала докажите сценарии и границы данных. Корпоративный инструмент нужен, когда есть регулярная работа с желтой зоной, пользователями, логами и правами.

Как быть с сотрудниками, которые уже пользуются AI?

Включите их в пилот как источник фактуры. Они знают реальные задачи. Но переведите работу в разрешенный инструмент и объясните красную зону.

Можно ли разрешить AI для публичных текстов?

Да, если в prompt нет закрытого контекста. Публичный текст продукта обычно безопаснее, чем письмо клиенту или КП, но факты все равно нужно проверять.

Что читать дальше?

Смотрите теневой AI в отделе продаж, локальный ИИ-агент и мониторинг AI-агентов.