Ohne KI-Inventur können Sie weder den EU AI Act einhalten noch sinnvolle Governance aufbauen. Sie können keine Risiken managen, die Sie nicht kennen.
In fast jedem Quick Scan erleben wir dasselbe: Die Geschäftsführung glaubt, das Unternehmen nutze zwei oder drei KI-Tools. Nach der systematischen Erhebung sind es zwölf bis zwanzig — verteilt auf alle Abteilungen, meist ohne zentrales Wissen darüber.
Diese Lücke zwischen gefühlter und tatsächlicher KI-Nutzung ist das eigentliche Risiko. Nicht der EU AI Act. Und nicht die Technologie. Fehlende Transparenz über die eigene KI-Nutzung ist ein Führungsproblem — und lösbar.
Was gilt als „KI-System" im Sinne des EU AI Acts?
Der EU AI Act definiert KI-Systeme breiter, als die meisten KMU-Entscheider erwarten. Betroffen sind nicht nur selbst entwickelte Algorithmen, sondern auch:
- Kommerziell genutzte Sprachmodelle (ChatGPT, Copilot, Gemini) — auch wenn privat angemeldet
- KI-gestützte Recruiting-Tools, Bewerbungsscreening, HR-Scoring
- Automatisierte Kreditbewertungs- oder Bonitätsprüfungs-Tools
- Prognose- und Planungstools mit ML-Komponenten (z.B. ERP-Module)
- Chatbots auf der eigenen Website oder im Kundenservice
- KI-Funktionen in Standard-Software (z.B. „Smart Compose" in Google Workspace, Copilot in Office 365)
Mitarbeitende, die ChatGPT oder ähnliche Tools mit privaten Accounts für betriebliche Aufgaben nutzen, sind oft nicht im Bewusstsein der Führung. Trotzdem sind die verarbeiteten Unternehmensdaten geschäftlich relevant — und die Nutzung fällt unter den EU AI Act.
Fünf Perspektiven für eine vollständige KI-Inventur
Scope und Beteiligte definieren
Bestimmen Sie, welche Unternehmensbereiche und Personen in die Erhebung einbezogen werden. Für KMU empfehlen wir: alle Abteilungen, alle Führungsebenen. Benennen Sie eine koordinierende Person — intern oder extern — die den Prozess steuert und nachverfolgt.
Systematisch erheben — offiziell und inoffiziell
Erstellen Sie einen strukturierten Fragebogen und verteilen ihn an alle Abteilungsleiter und Teamverantwortlichen. Wichtig: Fragen Sie explizit nach inoffizieller Nutzung. Erfahrungsgemäß kommen 30–50 % der tatsächlichen Tools nur durch direkte, nicht wertende Nachfrage ans Licht.
Risikoklassen nach EU AI Act zuordnen
Ordnen Sie jedes erfasste System den vier Risikoklassen zu: unakzeptables Risiko (verboten), hohes Risiko (strenge Pflichten), begrenztes Risiko (Transparenzpflichten), minimales Risiko (keine spezifischen Anforderungen). Im Zweifel: rechtliche Einschätzung einholen.
Eigentümer und Verantwortliche benennen
Für jedes System ab „begrenztem Risiko" gilt: Es braucht einen internen Owner. Diese Person ist verantwortlich für die korrekte Nutzung, eventuelle Dokumentationspflichten und die Kommunikation gegenüber Nutzern. Ohne Named Owner ist Governance nicht möglich.
Dokumentieren und lebendig halten
Das Inventar ist kein Einmalprojekt — es ist ein lebendes Dokument. Legen Sie fest, wann es aktualisiert wird (empfohlen: bei jeder Tool-Einführung + halbjährlicher Review). Speichern Sie es zentral, zugänglich für Geschäftsführung und ggf. Compliance-Verantwortliche.
Praxis-Template: KI-Inventar
Eine bewährte Mindest-Struktur für die Dokumentation — keine spezielle Software nötig, eine Tabelle in Excel oder Google Sheets reicht vollständig aus:
| KI-System / Tool | Abteilung / Nutzer | Zweck | Risikoklasse | Owner | Status |
|---|---|---|---|---|---|
| ChatGPT (OpenAI) | Marketing, Vertrieb | Texterstellung, E-Mail-Drafts | Begrenzt | Marketing-Leitung | Inoffiziell → zu regeln |
| Microsoft Copilot | Alle (Office 365) | Dokumenten-Assistenz | Begrenzt | IT-Leitung | Offiziell, Policy fehlt |
| Recruiting-Tool XY | HR | Bewerbungs-Vorauswahl | Hoch | HR-Leitung | Prüfung erforderlich |
| ERP-Prognose-Modul | Einkauf, Planung | Bedarfsplanung | Minimal | Einkaufsleitung | OK, dokumentiert |
Eine vollständige KI-Inventur dauert in KMU erfahrungsgemäß 2–5 Arbeitstage — abhängig von der Unternehmensgröße und der Kooperationsbereitschaft der Abteilungen. Unser Quick Scan enthält die Inventur als ersten und wichtigsten Schritt.
Häufige Fehler bei der KI-Inventur
Nur IT befragt. KI-Nutzung findet überall statt — in Marketing, HR, Buchhaltung, Kundenservice. Wer nur die IT fragt, bekommt maximal 30 % des tatsächlichen Bildes.
Inoffizielle Nutzung ausblenden. „Das ist doch privat" ist kein Argument, wenn Unternehmensdaten verarbeitet werden. Ein nicht wertender, klarer Aufruf zur Offenlegung ist entscheidend — und rechtlich geboten.
Einmalige Aktion. KI-Tools werden wöchentlich neu eingeführt. Ein Inventar ohne Updateprozess ist spätestens nach 6 Monaten veraltet.
Die Erstellung einer KI-Inventur und die darauf aufbauende Governance-Struktur sind im Rahmen mehrerer Förderprogramme (go-digital, DigiBonus, BAFA) potenziell förderfähig. Unser Quick Scan ist als erster Schritt für diese Förderwege konzipiert.
KI-Inventur-Vorlage als Arbeitsmappe
Die vollständige Vorlage mit Risikoklassen-Schema, Owner-Zuweisung und Review-Zyklus — als sofort nutzbare Arbeitsmappe für Ihr Team.
Kein Spam. Abmeldung jederzeit. Datenschutz auf forgesteer.com.
Die KI-Inventur ist keine bürokratische Pflicht — sie ist der Moment, in dem Führung wieder die Kontrolle übernimmt. Ohne diesen Schritt ist jede Governance-Diskussion abstrakt.
Wenn Sie wissen möchten, wie die Inventur in Ihrem Unternehmen aussehen würde, sprechen Sie mit uns — oder starten Sie mit dem KI-Readiness-Check.
Bez inwentaryzacji AI nie możesz ani wypełnić wymogów unijnego aktu o SI, ani zbudować sensownego systemu zarządzania. Nie możesz zarządzać ryzykami, których nie znasz.
W prawie każdym Quick Scanie widzimy to samo: zarząd uważa, że firma używa dwóch lub trzech narzędzi AI. Po systematycznym badaniu okazuje się, że jest ich dwanaście do dwudziestu — rozproszonych po wszystkich działach, zazwyczaj bez centralnej wiedzy na ten temat.
Ta luka między odczuwanym a rzeczywistym wykorzystaniem AI to właściwe ryzyko. Nie unijny akt o SI. Nie technologia. Brak przejrzystości co do własnego użycia AI to problem zarządczy — i rozwiązywalny.
Co jest „systemem AI" w rozumieniu unijnego aktu o SI?
Unijny akt o SI definiuje systemy AI szerzej, niż oczekuje większość decydentów MŚP. Dotyczy to nie tylko samodzielnie opracowanych algorytmów, ale również:
- Komercyjne modele językowe (ChatGPT, Copilot, Gemini) — nawet jeśli zalogowane prywatnie
- Narzędzia rekrutacyjne z AI, screening aplikacji, scoring HR
- Zautomatyzowane narzędzia do oceny kredytowej lub wiarygodności
- Narzędzia prognostyczne i planistyczne z komponentami ML (np. moduły ERP)
- Chatboty na własnej stronie lub w obsłudze klienta
- Funkcje AI w standardowym oprogramowaniu (np. „Smart Compose" w Google Workspace, Copilot w Office 365)
Pracownicy korzystający z ChatGPT lub podobnych narzędzi za pomocą prywatnych kont do zadań służbowych często nie są w świadomości kierownictwa. Mimo to przetwarzane dane firmowe mają znaczenie biznesowe — a użytkowanie podlega unijnemu aktowi o SI.
Pięć perspektyw dla pełnej inwentaryzacji AI
Zdefiniuj zakres i uczestników
Określ, które obszary firmy i osoby zostaną objęte badaniem. Dla MŚP zalecamy: wszystkie działy, wszystkie poziomy kierownicze. Wyznacz osobę koordynującą — wewnętrzną lub zewnętrzną — która będzie zarządzać procesem i go śledzić.
Systematycznie zbieraj dane — oficjalnie i nieoficjalnie
Przygotuj ustrukturyzowany kwestionariusz i rozprowadź go wśród kierowników działów i liderów zespołów. Ważne: pytaj wprost o nieoficjalne użycie. Z doświadczenia wynika, że 30–50 % rzeczywistych narzędzi wychodzi na jaw tylko dzięki bezpośredniemu, nieosuądzającemu pytaniu.
Przypisz klasy ryzyka zgodnie z unijnym aktem o SI
Przypisz każdy zidentyfikowany system do jednej z czterech klas ryzyka: niedopuszczalne ryzyko (zakazane), wysokie ryzyko (rygorystyczne obowiązki), ograniczone ryzyko (obowiązki przejrzystości), minimalne ryzyko (brak szczególnych wymagań). W razie wątpliwości — zasięgnij opinii prawnej.
Wyznacz właścicieli i odpowiedzialnych
Dla każdego systemu od „ograniczonego ryzyka" wzwyż: potrzebny jest wewnętrzny właściciel. Ta osoba odpowiada za prawidłowe użytkowanie, ewentualne obowiązki dokumentacyjne i komunikację z użytkownikami. Bez nazwanego właściciela governance nie jest możliwe.
Dokumentuj i utrzymuj aktualność
Inwentaryzacja to nie jednorazowy projekt — to żywy dokument. Ustal, kiedy będzie aktualizowany (zalecane: przy każdym wdrożeniu narzędzia + przegląd półroczny). Przechowuj centralnie, dostępny dla zarządu i ewentualnych compliance managerów.
Praktyczny szablon: Rejestr AI
Sprawdzona minimalna struktura dokumentacji — bez specjalnego oprogramowania, prosta tabela w Excelu lub Google Sheets w pełni wystarczy:
| System AI / Narzędzie | Dział / Użytkownicy | Cel | Klasa ryzyka | Właściciel | Status |
|---|---|---|---|---|---|
| ChatGPT (OpenAI) | Marketing, Sprzedaż | Tworzenie treści, szkice e-maili | Ograniczone | Kierownik marketingu | Nieoficjalnie → do uregulowania |
| Microsoft Copilot | Wszyscy (Office 365) | Asystent dokumentów | Ograniczone | Kierownik IT | Oficjalnie, brak polityki |
| Narzędzie rekrutacyjne XY | HR | Wstępna selekcja aplikacji | Wysokie | Kierownik HR | Wymagana weryfikacja |
| Moduł prognoz ERP | Zakupy, Planowanie | Planowanie zapotrzebowania | Minimalne | Kierownik zakupów | OK, udokumentowane |
Pełna inwentaryzacja AI w MŚP trwa z doświadczenia 2–5 dni roboczych — w zależności od wielkości firmy i gotowości działów do współpracy. Nasz Quick Scan zawiera inwentaryzację jako pierwszy i najważniejszy krok.
Częste błędy przy inwentaryzacji AI
Pytamy tylko IT. Użycie AI odbywa się wszędzie — w marketingu, HR, księgowości, obsłudze klienta. Kto pyta tylko IT, dostaje co najwyżej 30% rzeczywistego obrazu.
Pomijanie nieoficjalnego użycia. „To jest prywatne" nie jest argumentem, gdy przetwarzane są dane firmowe. Bezpośrednie, nieosuądzające wezwanie do ujawnienia jest kluczowe — i prawnie wymagane.
Jednorazowa akcja. Narzędzia AI są wprowadzane co tydzień. Inwentaryzacja bez procesu aktualizacji jest przestarzała po 6 miesiącach.
Tworzenie inwentaryzacji AI i budowanie na niej struktury governance jest potencjalnie dofinansowywalne w ramach kilku programów (go-digital, DigiBonus, BAFA). Nasz Quick Scan jest zaprojektowany jako pierwszy krok do tych ścieżek dofinansowania.
Inwentaryzacja AI to nie biurokratyczny obowiązek — to moment, w którym kierownictwo odzyskuje kontrolę. Bez tego kroku każda dyskusja o governance pozostaje abstrakcyjna.
Jeśli chcesz wiedzieć, jak wyglądałaby inwentaryzacja w Twojej firmie, porozmawiaj z nami — lub zacznij od sprawdzianu gotowości na AI.
Without an AI inventory, you can neither comply with the EU AI Act nor build meaningful governance. You cannot manage risks you don't know about.
In almost every Quick Scan we conduct, we see the same pattern: leadership believes the company uses two or three AI tools. After a systematic survey, the number is twelve to twenty — spread across all departments, usually without any centralised awareness.
This gap between perceived and actual AI usage is the real risk. Not the EU AI Act. Not the technology. A lack of transparency about your own AI usage is a leadership problem — and a solvable one.
What Counts as an "AI System" Under the EU AI Act?
The EU AI Act defines AI systems more broadly than most SME decision-makers expect. It covers not just self-developed algorithms, but also:
- Commercially used language models (ChatGPT, Copilot, Gemini) — even with personal accounts
- AI-powered recruitment tools, application screening, HR scoring
- Automated credit rating or creditworthiness assessment tools
- Forecasting and planning tools with ML components (e.g. ERP modules)
- Chatbots on your website or in customer service
- AI features in standard software (e.g. Smart Compose in Google Workspace, Copilot in Office 365)
Employees using ChatGPT or similar tools via personal accounts for work tasks are often invisible to leadership. Yet the company data being processed is professionally relevant — and this usage falls under the EU AI Act.
Five Perspectives for a Complete AI Inventory
Define Scope and Participants
Determine which business areas and individuals will be included in the survey. For SMEs, we recommend: all departments, all management levels. Appoint a coordinating person — internal or external — to manage and track the process.
Systematically Survey — Official and Unofficial
Create a structured questionnaire and distribute it to all department heads and team leads. Critically: ask explicitly about unofficial usage. Experience shows that 30–50% of actual tools only come to light through direct, non-judgemental questioning.
Assign EU AI Act Risk Classes
Assign each identified system to one of the four risk classes: unacceptable risk (prohibited), high risk (strict obligations), limited risk (transparency obligations), minimal risk (no specific requirements). When in doubt, seek legal advice.
Appoint Owners and Responsible Persons
For every system from "limited risk" upward: it needs an internal owner. This person is responsible for correct usage, any documentation obligations, and communication to users. Without a named owner, governance is impossible.
Document and Keep It Alive
The inventory is not a one-time project — it is a living document. Define when it will be updated (recommended: whenever a new tool is introduced + a semi-annual review). Store it centrally, accessible to management and compliance stakeholders.
Practical Template: AI Register
A proven minimum structure for documentation — no specialist software required, a simple spreadsheet in Excel or Google Sheets is fully sufficient:
| AI System / Tool | Department / Users | Purpose | Risk Class | Owner | Status |
|---|---|---|---|---|---|
| ChatGPT (OpenAI) | Marketing, Sales | Content creation, email drafts | Limited | Marketing Lead | Unofficial → needs policy |
| Microsoft Copilot | All (Office 365) | Document assistance | Limited | IT Lead | Official, policy missing |
| Recruitment Tool XY | HR | Application pre-screening | High | HR Lead | Review required |
| ERP Forecasting Module | Procurement, Planning | Demand planning | Minimal | Procurement Lead | OK, documented |
A complete AI inventory in SMEs takes 2–5 working days in practice — depending on company size and the willingness of departments to cooperate. Our Quick Scan includes the inventory as the first and most important step.
Common Mistakes in AI Inventories
Only asking IT. AI usage happens everywhere — in marketing, HR, finance, customer service. Asking only IT gives you at most 30% of the real picture.
Ignoring unofficial usage. "That's private" is not an argument when company data is being processed. A direct, non-judgemental call for disclosure is essential — and legally required.
One-time action. AI tools are introduced weekly. An inventory without an update process is outdated within 6 months.
Creating an AI inventory and the governance structure built on it is potentially eligible for funding under several programmes (go-digital, DigiBonus, BAFA). Our Quick Scan is designed as the first step for these funding pathways.
The AI inventory is not a bureaucratic obligation — it is the moment at which leadership regains control. Without this step, every governance discussion remains abstract.
If you'd like to know how an inventory would look in your company, speak with us — or start with the AI Readiness Check.
Sans inventaire IA, vous ne pouvez ni vous conformer au EU AI Act ni mettre en place une gouvernance pertinente. Vous ne pouvez pas gérer des risques que vous ne connaissez pas.
Dans presque chaque Quick Scan que nous réalisons, nous observons le même schéma : la direction pense que l'entreprise utilise deux ou trois outils d'IA. Après un recensement systématique, le nombre s'élève à douze à vingt — répartis sur tous les départements, généralement sans connaissance centralisée.
Cet écart entre l'utilisation perçue et réelle de l'IA constitue le véritable risque. Pas le EU AI Act. Pas la technologie. Un manque de transparence sur votre propre utilisation de l'IA est un problème de gouvernance — et il est résolvable.
Qu'est-ce qu'un « système d'IA » au sens du EU AI Act ?
Le EU AI Act définit les systèmes d'IA de manière plus large que ce que la plupart des dirigeants de PME attendent. Sont concernés non seulement les algorithmes développés en interne, mais également :
- Les modèles de langage utilisés à titre professionnel (ChatGPT, Copilot, Gemini) — même avec des comptes personnels
- Les outils de recrutement assistés par l'IA, le pré-tri de candidatures, le scoring RH
- Les outils automatisés d'évaluation de crédit ou de solvabilité
- Les outils de prévision et de planification avec des composants ML (par ex. modules ERP)
- Les chatbots sur votre site web ou dans le service client
- Les fonctions IA dans les logiciels standards (par ex. Smart Compose dans Google Workspace, Copilot dans Office 365)
Les collaborateurs qui utilisent ChatGPT ou des outils similaires via des comptes personnels pour des tâches professionnelles restent souvent invisibles pour la direction. Pourtant, les données d'entreprise traitées sont professionnellement pertinentes — et cette utilisation relève du EU AI Act.
Cinq perspectives pour un inventaire IA complet
Définir le périmètre et les participants
Déterminez quels services et quelles personnes seront inclus dans le recensement. Pour les PME, nous recommandons : tous les départements, tous les niveaux de direction. Désignez une personne coordinatrice — interne ou externe — pour piloter et suivre le processus.
Recenser systématiquement — officiel et officieux
Élaborez un questionnaire structuré et distribuez-le à tous les responsables de département et chefs d'équipe. Point critique : interrogez explicitement sur les usages officieux. L'expérience montre que 30 à 50 % des outils réellement utilisés ne sont révélés que par un questionnement direct et bienveillant.
Attribuer les classes de risque selon le EU AI Act
Classez chaque système identifié dans l'une des quatre classes de risque : risque inacceptable (interdit), risque élevé (obligations strictes), risque limité (obligations de transparence), risque minimal (aucune exigence spécifique). En cas de doute, sollicitez un avis juridique.
Désigner les propriétaires et responsables
Pour chaque système à partir du « risque limité » : il faut un propriétaire interne. Cette personne est responsable de l'utilisation conforme, des éventuelles obligations de documentation et de la communication auprès des utilisateurs. Sans propriétaire désigné, la gouvernance est impossible.
Documenter et maintenir à jour
L'inventaire n'est pas un projet ponctuel — c'est un document vivant. Définissez quand il sera mis à jour (recommandé : à chaque introduction d'un nouvel outil + révision semestrielle). Stockez-le de manière centralisée, accessible à la direction et aux responsables conformité.
Modèle pratique : registre IA
Une structure minimale éprouvée pour la documentation — aucun logiciel spécialisé n'est nécessaire, un simple tableur Excel ou Google Sheets suffit amplement :
| Système IA / Outil | Département / Utilisateurs | Finalité | Classe de risque | Propriétaire | Statut |
|---|---|---|---|---|---|
| ChatGPT (OpenAI) | Marketing, Ventes | Création de contenu, brouillons d'e-mails | Limité | Resp. Marketing | Officieux → politique à définir |
| Microsoft Copilot | Tous (Office 365) | Assistance documentaire | Limité | Resp. IT | Officiel, politique manquante |
| Outil de recrutement XY | RH | Pré-sélection des candidatures | Élevé | Resp. RH | Révision requise |
| Module prévisionnel ERP | Achats, Planification | Planification de la demande | Minimal | Resp. Achats | OK, documenté |
Un inventaire IA complet dans une PME prend en pratique 2 à 5 jours ouvrables — selon la taille de l'entreprise et la volonté de coopération des départements. Notre Quick Scan inclut l'inventaire comme première et plus importante étape.
Erreurs fréquentes lors de l'inventaire IA
N'interroger que l'IT. L'utilisation de l'IA a lieu partout — dans le marketing, les RH, la finance, le service client. Ne consulter que l'IT ne donne au mieux que 30 % de la réalité.
Ignorer les usages officieux. « C'est privé » n'est pas un argument lorsque des données d'entreprise sont traitées. Un appel clair et bienveillant à la transparence est essentiel — et juridiquement nécessaire.
Action ponctuelle. De nouveaux outils IA sont introduits chaque semaine. Un inventaire sans processus de mise à jour est obsolète en 6 mois.
La création d'un inventaire IA et la structure de gouvernance qui en découle sont potentiellement éligibles à plusieurs programmes de subvention (go-digital, DigiBonus, BAFA). Notre Quick Scan est conçu comme première étape de ces parcours de financement.
L'inventaire IA n'est pas une obligation bureaucratique — c'est le moment où la direction reprend le contrôle. Sans cette étape, toute discussion sur la gouvernance reste abstraite.
Si vous souhaitez savoir à quoi ressemblerait un inventaire dans votre entreprise, échangez avec nous — ou commencez par le Check de Readiness IA.