AI-риски бизнеса: зачем МСБ правила уже в 2026

AI риски бизнеса: правила для МСБ | Марина Погодина, PROMAREN Марина Погодина

Штраф за ошибку с AI для МСБ может стать критичным. AI-риски бизнеса: какие правила нужны до запуска нейросетей — Марина Погодина, PROMAREN

AI риски бизнеса в 2026 уже нельзя считать проблемой только для корпораций. Штраф, утечка данных или ошибка нейросети для малого бизнеса часто бьют сильнее, чем для Сбера или Яндекса, потому что запас прочности в 10-100 раз ниже.

Обновлено: 07 мая 2026

Время чтения: 12-14 минут

• Что такое AI Governance простыми словами
• Зачем малому бизнесу контролировать AI риски
• Как понять, что нейросеть опасна для бизнеса
• Какие риски AI для малого бизнеса самые частые
• Что выбрать бизнесу: свободное использование AI или правила
• Что ещё стоит учесть

AI риски бизнеса нужно закрывать до запуска нейросетей. Даже базовый контур из 5 правил, разграничения доступов и ежемесячной проверки снижает вероятность утечки, ошибок и штрафов в разы.

Штраф 18 млн для Сбера — строчка в отчёте. Для небольшой компании это может быть кассовый разрыв, потеря клиентов и заморозка проекта на 6 месяцев. При этом сами риски одинаковые: сотрудники копируют данные клиентов в ChatGPT, права доступа раздаются без логики, ответы бота никто не проверяет, а внутренний регламент отсутствует. Я 16 лет работала в аудите и ИТ-рисках, и здесь логика та же, что в проектах PwC, Deloitte, ЦБ и крупных компаний вроде МТС или X5: слабое место редко в модели, чаще в процессе вокруг неё.

Поэтому AI Governance для малого бизнеса — не бюрократия и не мода. Это набор контрольных точек, который помогает внедрять нейросети в бизнес без лишней самоуверенности. Сначала цель, потом правила, потом технология. У PROMAREN этот порядок принципиален: решения строятся от бизнес-цели, а не от ТЗ, а доступы, контрольные точки и риски закладываются сразу.

Что такое AI Governance простыми словами

AI Governance — это правила использования нейросетей в компании, которые определяют, какие данные можно передавать, кто принимает решения, кто проверяет ответы модели и что делать при ошибке.

Если по-простому, это управленческий контур вокруг AI. Он нужен, чтобы нейросеть не жила отдельно от бизнеса. В крупных компаниях такой контур уже давно собирают через политики, контрольные процедуры и аудит процессов. Для МСБ логика та же, только в компактной версии: 1 ответственный, 1 регламент на 2-4 страницы, 1 перечень разрешённых сервисов, 1 журнал инцидентов и регулярная проверка качества.

В марте 2026 я разбирала проект, где команда уже использовала ChatGPT и YandexGPT, но никто не мог ответить на три вопроса: какие данные туда отправляют, кто отвечает за итоговый текст и где хранится история запросов. Формально AI был внедрён. Фактически компания просто открыла ещё один неучтённый канал обработки информации.

AI Governance — это система правил и контроля, которая задаёт безопасное использование нейросетей в компании. Она определяет допустимые сценарии, ответственных, данные, уровни доступа и порядок проверки результата.

По данным 2025 года 77% малых предприятий, использующих AI, не имеют письменной политики по AI, а только 9% мониторят свои системы на точность, дрейф и неправильное использование. Это и есть разрыв между «мы пользуемся нейросетью» и «мы управляем нейросетью». Во втором случае у бизнеса есть шанс масштабировать инструмент. В первом — просто растёт вероятность инцидента.

Если нужен управляемый контур с базой знаний и разграничением доступа, обычно я рекомендую AI-ассистент с базой знаний. Когда задача простая и нужна быстрая проверка гипотезы, подойдут Make или n8n. Когда нужен надёжный и масштабируемый контур, лучше писать код. Дальше вопрос уже не в моде на AI, а в зрелости управления. И здесь мы переходим к главному: зачем всё это малому бизнесу прямо сейчас.

Зачем малому бизнесу контролировать AI риски

Малый бизнес теряет от ошибок AI быстрее, потому что у него меньше денег, меньше людей и обычно нет отдельного юриста, CISO и ИТ-аудитора в штате.

Когда Сбер, Яндекс или крупный маркетплейс получают претензию, у них есть резерв по деньгам, пресс-служба и команда, которая может 2 недели тушить инцидент. У салона, клиники, агентства, e-commerce-проекта или производственной компании на 20-70 человек такой подушки часто нет. Ошибка одного сотрудника, который отправил в нейросеть договоры, базу клиентов или внутренние цены, может стоить месячной выручки.

В практике PROMAREN типовой сценарий выглядит так: бизнес хочет ускорить маркетинг, продажи или поддержку, сотрудники начинают использовать нейросети без правил, через 3-4 недели растёт скорость, а через 2 месяца всплывают проблемы. Кто-то сгенерировал ответ клиенту с неверными условиями. Кто-то скормил модели персональные данные. Кто-то собрал бота на общем аккаунте, и после увольнения сотрудника компания не понимает, где ключи доступа и кто может зайти в систему.

• Финансовый риск — ошибки в коммерческих предложениях, ценах, сроках и автоматических ответах.
• Юридический риск — нарушение 152-ФЗ при передаче персональных данных без понятного основания и контроля.
• Операционный риск — зависимость от одного сотрудника, который «настроил как смог» и ушёл.
• Репутационный риск — публичная ошибка бота, которая разлетается за 1 день быстрее любой рекламы.
• Управленческий риск — руководитель думает, что внедрил AI, хотя по факту в компании хаос из разных сервисов.

По данным ряда исследований 63% организаций не имеют адекватных структур управления AI, а средний ущерб от серьёзного сбоя превышает 4,2 млн долларов. Для МСБ цифра будет меньше в абсолюте, но опаснее в доле от оборота. Поэтому вопрос «нужен ли малому бизнесу AI Governance» в 2026 уже звучит поздно. Нужен, если вы вообще используете нейросети в работе.

Самая дорогая ошибка здесь — считать, что риски AI для малого бизнеса ниже просто из-за масштаба. Они ниже по объёму, но выше по чувствительности. Поэтому следующий шаг — научиться видеть признаки, что система уже опасна.

Как понять, что нейросеть опасна для бизнеса

В апреле 2026 клиент спросил: а как понять, что у нас уже проблема, если ничего ещё не случилось? Я ответила просто: если у вас нет ответственного, правил и проверки, проблема уже есть, просто она пока без счёта в деньгах.

Опасность нейросети редко выглядит как яркий сбой в первый день. Чаще это серия мелких сигналов. Их игнорируют, пока не складывается цепочка: сотрудник берёт внешний сервис, копирует туда данные клиента, получает правдоподобный, но ложный ответ, отправляет его без проверки, а потом ещё и невозможно восстановить, кто именно это сделал.

Первый маркер — галлюцинации нейросети, то есть ситуация, когда модель уверенно выдаёт выдуманный факт. Для маркетинга это неприятно, для юридических текстов, HR, медицины, финансов или клиентского сервиса уже опасно. Второй маркер — доступы сотрудников раздаются через личные аккаунты или общий логин. Третий — нет списка разрешённых задач, и сотрудники используют AI где им удобно, а не где это допустимо.

1. Спросите, какие данные сотрудники уже передают в ChatGPT, YandexGPT и другие сервисы.
2. Проверьте, есть ли внутренний регламент хотя бы на 2 страницы.
3. Посмотрите, кто владеет аккаунтами, API-ключами и правами доступа.
4. Выясните, кто проверяет ответы модели перед отправкой клиенту.
5. Зафиксируйте, есть ли журнал ошибок, жалоб и спорных ответов.
6. Определите, какие процессы нельзя автоматизировать без участия человека.

Если на 3 из 6 пунктов ответа нет, контроль нейросетей в компании уже слабый. Если на 4 и более пункта ответа нет, у вас свободное использование AI без управленческого контура. Это означает, что любая ошибка будет дороже, потому что расследование и исправление начнутся с нуля.

В крупных средах вроде Аэрофлота или проектов Большой четвёрки такую ситуацию быстро вылавливают внутренние контроли. В МСБ это приходится собирать проще и быстрее, но принцип тот же: сначала карта рисков, потом правила, потом масштабирование. Отсюда логично перейти к самим рискам, которые встречаются чаще всего.

AI риски бизнеса — это совокупность финансовых, юридических, операционных и репутационных потерь, которые возникают при использовании нейросетей без правил, мониторинга и разграничения ответственности. Чем меньше компания, тем быстрее такой риск превращается из технической ошибки в убыток.

Какие риски AI для малого бизнеса самые частые

300 000 рублей убытка для малого бизнеса может дать даже не взлом, а цепочка из трёх обычных ошибок: неправильный ответ клиенту, потеря времени команды и переделка процесса.

Чаще всего я вижу 4 класса проблем. Первый — утечка данных. В нейросеть загружают персональные данные, то есть сведения, по которым можно определить человека. Под 152-ФЗ сюда могут попасть ФИО, телефон, e-mail, договор, заявка, медицинские сведения, реквизиты. Второй — ошибка в решении, когда модель советует неверный вариант, а сотрудник не проверяет. Третий — нарушение прав доступа, когда бывший подрядчик или сотрудник продолжает иметь доступ к базе знаний, чат-боту или интеграциям. Четвёртый — дрейф модели, когда качество ответа падает со временем, а никто этого не замечает.

В мае 2026 Роскомнадзор продолжает акцентировать внимание на обязанностях операторов персональных данных и требованиях к защите информации. Формально нейросеть не отменяет эти обязанности. Если вы передали данные в неподконтрольный контур, ответственность с бизнеса не исчезает. Официальные требования по персональным данным лучше проверять на сайте Роскомнадзора.

Перед внедрением нейросети проведите трёхдневный риск-ассессмент: данные, доступы, критичные сценарии, ответственные. Такая проверка занимает до 72 часов и экономит месяцы на переделку, инциденты и ручное расследование.

Есть и менее заметные риски нейросетей. Например, предвзятость в ответах, когда система даёт перекошенные рекомендации в подборе персонала, скоринге заявок или обработке обращений. Или «теневой AI», когда сотрудники уже внедрили инструменты сами, а руководитель узнаёт об этом случайно. Для малого бизнеса это особенно опасно, потому что вся архитектура держится на 2-3 активных людях. Один уходит, и вместе с ним уходит вся логика процесса.

Если вы хотите безопасно использовать нейросети в компании, фокус должен быть на процессе, а не на красоте демо. Именно поэтому главный вопрос дальше звучит управленчески: что лучше — позволить всем пользоваться свободно или установить правила.

Что выбрать бизнесу: свободное использование AI или правила

Свободное использование AI почти всегда проигрывает правилам уже на горизонте 2-3 месяцев. Сначала кажется, что без ограничений быстрее. Потом выясняется, что скорость была куплена ценой хаоса.

Когда в компании нет политики использования AI, сотрудники начинают оптимизировать свои локальные задачи. Один пишет коммерческие предложения, второй генерирует вакансии, третий подключает бот, четвёртый загружает договоры в внешний сервис. На уровне дня это выглядит продуктивно. На уровне квартала это набор разнородных практик без владельца и без общего стандарта качества.

Политика использования AI не обязана быть тяжёлой. Для МСБ достаточно короткого документа, где зафиксированы разрешённые сервисы, запрещённые типы данных, права доступа, обязательная проверка человеком и порядок реакции на инцидент. Это и есть ответ на вопрос, какие правила нужны для работы с нейросетями. Не 40 страниц. Обычно 2-4 страниц уже хватает, чтобы закрыть 80% базовых рисков.

Я считаю, что бизнесу нужен именно управляемый режим использования AI. Потому что AI нужен, но с грамотным сопровождением. Если задача локальная и недорогая, можно быстро собрать сценарий на Make или n8n. Если речь о внутреннем ассистенте, знании компании и чувствительных данных, нужен контролируемый контур, аудит процессов и архитектура с понятной ответственностью. Такой подход я использую в автоматизации бизнес-процессов в PROMAREN: сначала бизнес-цель, потом карта рисков, потом реализация.

По данным 2025-2026 годов усиливается регуляторное давление на использование AI, а число инцидентов с предвзятостью и ошибками растёт. Европейские и международные рамки вроде OECD AI Principles закрепляют ту же мысль: без прозрачности, контроля и подотчётности AI быстро становится источником системного риска. Для малого бизнеса это означает простую вещь: правила дешевле последствий.

Большинство проблем с AI начинается не в модели, а в свободном доступе сотрудников к данным и сервисам. Закладывайте месяц калибровки после запуска, иначе на 8-12 неделе процесс начнёт давать ошибки, которые никто не умеет объяснить.

Проверка перед запуском нейросетей в компании

1. Определите 3-5 задач, где AI реально влияет на выручку, скорость или качество.
2. Запретите передачу персональных данных и договоров в внешние сервисы без отдельного решения.
3. Назначьте одного владельца процесса и одного резервного ответственного.
4. Опишите разрешённые инструменты, роли и права доступа сотрудников.
5. Закрепите обязательную проверку человеком для клиентских, юридических и финансовых ответов.
6. Раз в месяц пересматривайте ошибки, жалобы и качество ответов модели.

Что изменилось в 2025-2026

В 2025 и 2026 тема AI Governance перешла из экспертной дискуссии в управленческую практику. Растёт число требований к прозрачности решений, к качеству данных и к контролю автоматизированных выводов. Параллельно компании начали понимать скрытую стоимость слабого управления: не только штрафы, но и ручная переделка, репутационные потери, потеря базы знаний и зависимость от случайных настроек.

В феврале 2025 международные отраслевые обзоры отдельно выделяли МСБ как сегмент с высоким риском именно из-за нехватки формальных правил и ресурсов. В 2026 это уже перестало быть оправданием. Базовый контур управления AI можно собрать без корпоративной бюрократии, если делать его от бизнес-цели и заранее предусмотреть, где процесс сломается до запуска.

Где AI окупается только при наличии контроля

У малого бизнеса есть соблазн запустить нейросеть сразу в маркетинг, продажи, поддержку и внутренние документы. Но на практике лучше начинать с 1-2 процессов, где результат измерим. Было 12 часов ручной подготовки ответов в неделю. Стало 2 часа с обязательной проверкой. Было 40 минут на поиск информации по базе. Стало 5 минут через RAG, то есть схему, в которой модель сначала ищет данные в базе знаний, потом отвечает.

Контроль окупается там, где ошибка дорогая. Это продажи с индивидуальными условиями, клиентская поддержка, обработка заявок, внутренняя база знаний и генерация документов. Если там нет владельца, логов и правил эскалации, AI даёт красивую витрину и слабый фундамент. А слабый фундамент всегда выходит дороже MVP.

Именно поэтому AI риски бизнеса нельзя закрыть одной подпиской на сервис. Нужен процесс: политика использования AI, аудит процессов, права доступа, обучение сотрудников и понятный сценарий на случай инцидента. Тогда нейросеть становится рабочим инструментом, а не источником сюрпризов.

Почему правила дешевле хаоса

Вопрос обычно звучит так: не слишком ли рано вводить AI Governance для малого бизнеса? Мой ответ другой: если у вас уже есть хотя бы 5 сотрудников, которые используют нейросети, вы уже в зоне риска. Значит, правила нужны сейчас, пока стоимость исправления ещё измеряется десятками тысяч, а не потерей клиентов или претензией регулятора.

Первое. AI риски бизнеса одинаково реальны для корпорации и для компании на 15 человек, просто у МСБ меньше запас на ошибку. Второе. Базовое управление AI можно внедрить быстро: 2-4 страницы правил, карта доступов, владелец процесса, ежемесячный контроль. Третье. AI действительно даёт эффект, но только когда его внедряют от бизнес-цели, а контрольные точки и риски закладывают сразу. Это тот случай, где экономия на управлении почти всегда оборачивается дорогой переделкой.

Обо мне. Я — Марина Погодина, основательница PROMAREN. Раньше занималась аудитом ИТ-рисков в Большой четвёрке и проектах для крупных организаций. Помогаю бизнесу в РФ строить автоматизацию кодом и на конструкторах.

Если хотите разобрать вашу ситуацию и понять, как внедрить нейросети без лишних потерь, подойдёт аудит процесса. Разбираю такие ситуации еженедельно в Telegram, MAX и статьях про AI-ассистентов.

Что ещё стоит учесть

Нужен ли малому бизнесу AI Governance, если нейросети использует только маркетолог?

Да, нужен. Даже один сотрудник может передать в внешний сервис клиентские данные, цены, договорные условия или внутренние инструкции. Для старта хватит короткой политики, списка разрешённых инструментов и правила обязательной проверки материалов перед публикацией.

Как безопасно использовать нейросети в компании без большого бюджета?

Начните с базового контура. Назначьте ответственного, запретите чувствительные данные во внешних сервисах, опишите роли и проводите ежемесячную проверку ошибок. Это дешевле, чем исправлять утечку данных или неверные клиентские ответы после запуска.

Какие правила нужны для работы с нейросетями в компании в первую очередь?

Сначала нужны четыре вещи: перечень разрешённых сервисов, запрет на передачу отдельных типов данных, обязательная проверка человеком и правила доступа. Этого уже хватает, чтобы резко снизить операционные и юридические риски при первых внедрениях.

Что будет, если сотрудники используют ChatGPT без контроля?

С высокой вероятностью появится теневой AI-контур. Сотрудники начнут по-разному использовать сервис, копировать туда данные и принимать решения без общей логики. Дальше бизнес получает ошибки, спорные ответы клиентам и невозможность быстро понять источник проблемы.

Как внедрять нейросети в бизнес, если нет своего ИТ-отдела?

Идите от процесса, а не от инструмента. Выберите 1-2 задачи с понятным эффектом, проведите риск-оценку, назначьте владельца и только потом выбирайте реализацию. Для простых сценариев подойдут Make и n8n, для критичных лучше код и контролируемая архитектура.

Нарушает ли использование AI закон о персональных данных?

Само по себе использование AI не запрещено. Риск возникает, когда компания передаёт персональные данные в неподконтрольный сервис без правового основания, защиты и понятных процедур. Поэтому перед запуском нужно проверить 152-ФЗ, потоки данных и роли доступа.

Как понять, что политика использования AI работает?

Смотрите на три показателя. Снижается число ошибок, понятен владелец каждого AI-процесса и можно быстро восстановить, кто, что и где запускал. Если этих ответов нет, документ существует формально и не управляет реальной практикой.

Что делать, когда нейросеть уже внедрена, но правил нет?

Остановите масштабирование и проведите быстрый аудит. Нужно описать текущие сценарии, данные, интеграции, владельцев и права доступа. После этого собирается короткий регламент, а затем внедряются контрольные точки и ежемесячный пересмотр качества.