Većina organizacija napravi jednu stvar jako dobro: pusti AI u produkciju. Ono što obično izostane je drugi, teži dio: održati AI sustav stabilnim, kontroliranim i dokazivim kroz vrijeme. I tu nastaje problem. Ne na “dan lansiranja”, nego nakon nekoliko mjeseci, kad se dogodi realnost:
model se promijeni, promptovi se “dotjeraju”, podaci počnu driftati, vendor izbaci novu verziju, use-case se proširi na novu poslovnu odluku, a tim koji je sve postavio — ode na drugi projekt.
U tom trenutku upravljanje životnim ciklusom AI sustava prestaje biti “best practice” i postaje ono što u praksi spašava:
- operativnu stabilnost (AI radi predvidivo),
- odgovornost (jasno je tko je za što zadužen),
- dokazivost (možete pokazati trag odluka i promjena),
- i, sve češće, regulatornu spremnost (EU AI Act i ostali okviri).
Ovaj tekst je vodič kako to postaviti na način koji je edukativan, ali i praktičan — s ciljem da dobijete jasnu sliku što znači lifecycle management i gdje najčešće pucaju organizacije.
Što je zapravo “životni ciklus” AI sustava?
Životni ciklus AI sustava nije faza projekta. To je činjenica da AI u produkciji nije statičan. Kod klasičnog softvera promjena je često jasna: nova verzija aplikacije, release notes, deployment.
Kod AI sustava promjena može biti tiha i “nevidljiva”:
- model je isti, ali se promijenio input data,
- model je isti, ali se promijenio prompt ili pravila,
- vendor je promijenio verziju “ispod haube”,
- sustav se koristi u istom procesu, ali za drugačiju odluku.
Ako ne upravljate tim promjenama, riskirate da AI sustav postane “black box” čak i vama. A u reguliranom okruženju, “ne znamo” je najskuplji odgovor.
Zašto EU AI Act lifecycle tretira ozbiljno (iako se to često krivo interpretira)
EU AI Act se u praksi često čita kao “checklist jednom i gotovo”. Međutim, srž zahtjeva (posebno kod high-risk sustava) ide u smjeru kontinuiranog upravljanja: rizik se ne procijeni jednom pa arhivira, nego se upravlja kroz cijeli radni vijek sustava. To ne znači da svaka organizacija mora graditi masivan compliance aparat.
Znači da morate imati minimalni operativni okvir koji omogućava da kroz vrijeme možete odgovoriti na tri pitanja:
- Što je ovaj AI sustav radio?
- Zašto je radio baš tako (u toj verziji i u tom kontekstu)?
- Tko je to odobrio i koje su kontrole bile aktivne?
Ako to možete odgovoriti brzo i jasno, obično ste daleko ispred prosjeka.
Gdje lifecycle upravljanje najčešće “pukne” u praksi
Najčešća pogreška nije loš model. Najčešća pogreška je loš proces. AI se uvede kroz pilot, pa krene širenje. I odjednom nastane siva zona:
tko je “owner” sustava, je li to IT, data science ili business? Tko potpisuje promjene? Ima li evidencije? Ima li kriterija kada se output smije koristiti, a kada mora u human review?
Druga tipična pogreška je “vendor compliance iluzija”. Vendor može imati svoje dokumente i tvrdnje o usklađenosti, ali to ne rješava vaše operativne obveze kao deployera: kako koristite output, tko nadzire, kako dokumentirate odluke i promjene, kako upravljate incidentima. Treća pogreška je ono što zovemo paper compliance: postoji dokumentacija, ali kad netko pita “pokažite dokaz kako se to provodi”, nema logova, nema promjena, nema audit traila. Lifecycle management je upravo suprotan smjer: manje floskula, više dokazivih tragova.
Kako izgleda dobar lifecycle, bez birokracije
Dobar lifecycle je kombinacija jasnih uloga i par ključnih mehanizama. Ne deset novih politika.
Prvo, morate imati inventar AI sustava koji je živ dokument.
Ne radi se o tablici “za arhivu”, nego o jedinom mjestu gdje piše:koji use-case postoji, tko je owner, koja je razina rizika, gdje je dokumentacija, u kojoj je verziji i tko odobrava promjene.
Drugo, morate imati pravilo promjena.
AI sustavi se uvijek mijenjaju, ali pitanje je: mijenjaju li se “kontrolirano” ili “spontano”? Kontrolirano znači da je jasno što je “promjena koja zahtijeva odobrenje” (npr. promjena modela, promjena podataka, promjena logike koja utječe na odluke o ljudima), a što je “manje podešavanje”. I za svaku promjenu postoji trag: što se promijenilo, kada, zašto i tko je potpisao.
Treće, morate imati minimalnu dokazivost.
U praksi se to svodi na kombinaciju logova i jednostavne strukture evidencije: da se može povezati use-case, verzija, kontrola, incident i odluka. Četvrto, morate definirati human oversight na način koji nije samo rečenica u policyju. Tko intervenira? Kada? Po kojim signalima? Što se događa kad AI output izgleda “sumnjivo” ili kad dođe do pritužbe? Peto, morate imati post-market monitoring u smislu realne operacije: pratite li drift, pratite li kvalitetu outputa, imate li pragove, imate li incident flow? Kad se ovo postavi, događaju se dvije dobre stvari: sustav je stabilniji, a audit readiness se “dogodi usput” jer imate tragove.
“High-risk” mijenja intenzitet, ne logiku
Jedna česta zabluda je da lifecycle management vrijedi samo za high-risk.
U stvarnosti, lifecycle vrijedi uvijek — samo je razina formalnosti drugačija.
Kod minimal risk sustava često je dovoljno: inventar, owner, change log i osnovna edukacija (AI literacy).
Kod limited risk sustava naglasak ide na transparentnost: korisnik mora razumjeti da komunicira s AI ili da je sadržaj AI-generiran/manipuliran, te koje su granice.
Kod high-risk sustava isti “kostur” postaje stroži: dokumentacija, logovi, nadzor, upute i monitoring moraju biti ozbiljniji, konzistentni i dokazivi kroz cijeli lifecycle. U praksi, najveća promjena je mentalna: prestajete gledati compliance kao dokument, a počinjete ga tretirati kao proces.
Kako krenuti ako već imate AI u produkciji
Ako imate AI sustave koji već rade, najgore što možete je “krenuti pisati politike iz nule” bez realne slike. Bolji pristup je napraviti brzu mapu stvarnosti:
- koje use-caseove stvarno imate,
- koji su business owneri,
- gdje AI utječe na ljude, prava ili pristup uslugama,
- koje su promjene bile u zadnjih 6 mjeseci,
- imate li logove i evidenciju,
- i postoji li put od pitanja do dokaza (evidence trail).
Već nakon tog pregleda obično se vidi 80% problema.
Kada nam se klijenti najčešće javljaju
Najčešći trenutak nije “želim biti compliant”. Najčešći trenutak je kad organizacija osjeti da AI raste brže od kontrole:
- “Imamo 10+ AI use-caseova, nitko nema centralni inventar.”
- “Vendor je promijenio verziju, ne znamo utjecaj.”
- “Imamo audit pitanje, a ne možemo brzo pokazati evidence.”
- “Želimo ISO/IEC 42001 i governance, ali prvo trebamo realnu osnovu.”
- “Nismo sigurni jesmo li high-risk za dio procesa.”
U tim situacijama naš fokus nije teorija, nego operativna implementacija: inventar, klasifikacija, kontrole, evidence pack i workflow za promjene — tako da sustav ostane održiv.
Lifecycle nije dodatni posao — to je način da AI ostane poslovno održiv. Ako AI sustav nije upravljan kroz lifecycle, s vremenom postaje skuplji, rizičniji i teži za objašnjavanje. Ako jest, dobivate suprotno: stabilnost, brže skaliranje, jasne odgovornosti i povjerenje — interno i eksterno.