mange virksomheter mangler styring på KI-bruken sin: få kontroll med 5 steg.

De siste årene har nesten alle virksomheter tatt i bruk kunstig intelligens på en eller annen måte. Noen har gjort det systematisk. Andre steder har det skjedd litt mer tilfeldig, uten å ha full oversikt over hvilke systemer som brukes, hvordan de fungerer eller hvem som har ansvar når noe går galt.

Ett team tar i bruk en chatbot. Et annet tester automatisert screening. HR bruker ett verktøy, IT et annet, og ledelsen antar ofte at noen har oversikt. Det er ikke først og fremst et teknologiproblem. Det er et styringsproblem.

I arbeidet med kunder ser vi ofte at virksomheter har kommet langt i bruk av KI, men kortere i arbeidet med styring, ansvar og risikovurdering. Samtidig øker forventningene raskt, både fra ansatte, kunder og myndigheter. EU AI Act og ISO 42001 gjør kravene til ansvarlig KI tydeligere. Men for mange virksomheter handler dette ikke bare om compliance. Det handler om tillit. 

Hos Randstad har vi brukt de siste årene på å bygge en governance-struktur for KI. Ikke fordi vi må, men fordi vi mener ansvarlig bruk av KI er en forutsetning for å kunne bruke teknologien i stor skala over tid. Basert på erfaring ser vi at ansvarlig KI hviler på fem byggesteiner: 

• Oversikt
• Risikovurdering
• Kompetanse
• Ledelsesforankring
• Løpende oppfølging

Ingen av disse fungerer alene. Det er samspillet mellom dem som avgjør om KI faktisk kan brukes trygt og ansvarlig i praksis.

Oversikt: Du kan ikke styre det du ikke kjenner til

Det første steget er å vite hva virksomheten faktisk bruker. Dette er ofte vanskeligere enn flere tror. I mange organisasjoner skjer KI-adopsjon gradvis og desentralisert. Nye verktøy tas i bruk lokalt i team eller avdelinger uten at det finnes en samlet oversikt. Systemer brukes aktivt uten tydelig eierskap, risikovurdering eller governance.

Vi har derfor etablert et AI-inventar: en strukturert og levende oversikt over alle KI-systemer og -verktøy som brukes i organisasjonen. Alle nye systemer må godkjennes før de tas i bruk, og registreres med blant annet formål, systemeier, leverandør, bruksområde, samt påvirkning på mennesker og prosesser.
Uten denne oversikten blir styring i praksis umulig. Man kan ikke:

• klassifisere risiko i systemer man ikke vet eksisterer
• dokumentere regulatoriske vurderinger
• håndtere feil eller hendelser effektivt
• forstå hvor virksomhetens største eksponering ligger

Mange virksomheter starter med policyer og prinsipper. Problemet er at prinsipper alene ikke gir kontroll dersom ingen vet hvilke systemer som faktisk brukes.

Risikovurdering: KI-risiko er annerledes enn tradisjonell IT-risiko

Tradisjonell IT-risiko handler ofte om systemfeil, nedetid eller uautorisert tilgang.
KI-risiko er mer kompleks. Et KI-system kan fungere teknisk helt fint, men samtidig gi systematisk skjeve anbefalinger, reprodusere historiske bias, påvirke mennesker på måter som er vanskelige å forklare eller ta beslutninger ingen fullt ut forstår grunnlaget for. Dette er spesielt viktig i systemer som påvirker mennesker direkte. Et rekrutteringssystem som systematisk nedvurderer kandidater fra bestemte grupper stopper ikke nødvendigvis av seg selv. Det fortsetter bare å levere resultater. Derfor har vi utviklet en egen risikomatrise for KI. Den vurderer blant annet:

• forklarbarhet
• datakvalitet
• bias og rettferdighet
• automatiseringsgrad
• menneskelig overstyring
• leverandøravhengighet
• i tillegg til tradisjonelle risikoer

Dette gir oss et felles språk for å diskutere risiko, både operativt og på ledernivå.
Vi har også definert tydelige eskaleringsveier:

• Hva skjer når et system gir uventede resultater?
• Hvem varsles?
• Hvem kan stoppe systemet?
• Hvem forklarer beslutningen dersom en kandidat, ansatt eller myndighet stiller spørsmål?

I mange virksomheter er disse spørsmålene fortsatt uklare.

Kompetanse: Ansvarlig KI krever AI literacy

Teknologien er bare så god som menneskene som bruker den.
En medarbeider som bruker KI-støtte i en vurderingsprosess må forstå at det er et KI-system, kjenne begrensningene og vite når anbefalinger bør overprøves. Samtidig må man ha en grunnleggende forståelse av hvilke data systemet bygger på, og hvordan disse påvirker resultatene som kommer ut.
Samtidig ser vi at mange virksomheter overvurderer hvor godt ansatte faktisk forstår teknologien de bruker i hverdagen. Derfor har vi rullet ut obligatorisk opplæring i ansvarlig KI-bruk til alle ansatte.

Dette handler ikke om å lære maskinlæring. Det handler om å forstå hva KI er godt egnet til, hvor teknologien har svakheter, hvilke risikoer som oppstår i praktisk bruk, og hvordan ansatte skal bruke skjønn sammen med teknologien. EU AI Act omtaler dette som AI literacy, og stiller eksplisitte krav til at virksomheter sikrer tilstrekkelig kompetanse hos personer som bruker KI-systemer. Kompetansebehovet varierer også etter rolle. Derfor har vi gitt ledere og systemansvarlige dypere opplæring innen risikovurdering, dokumentasjon, regulatoriske krav, samt ansvar og styring.

Ledelsesforankring: Governance kan ikke delegeres bort

Den viktigste enkeltfaktoren for om AI governance fungerer, er at ledelsen tar eierskap. Likevel ser vi ofte at dette blir behandlet som et rent teknologiansvar, samtidig som konsekvensene i praksis handler om mennesker, beslutninger og virksomhetsrisiko. Dette skjer ikke av seg selv. I 2024 vedtok vi en AI-policy med tydelige føringer for ansvarlig bruk av KI. Samtidig utpekte vi AI-ansvarlige på tvers av land og regioner. Det gjør at ansvaret ikke hviler på ett sentralt team alene, men er forankret der beslutningene faktisk tas.

Ledelsen må også stille de riktige spørsmålene kontinuerlig:

• Hvilke beslutninger lar vi KI påvirke?
• Hva er akseptabel risiko?
• Hvor mye automatisering er forsvarlig?
• Har vi tilstrekkelig menneskelig kontroll?
• Er systemene gjenstand for løpende evaluering?

ISO 42001 er tydelig på at lederansvar er en forutsetning for et velfungerende styringssystem. Det er vi enige i.

Løpende oppfølging: KI er ikke statisk

Mange behandler fortsatt KI-systemer som tradisjonell programvare: man implementerer systemet, godkjenner det og går videre. Problemet er at KI-systemer ikke er statiske. De endrer seg over tid, både fordi datagrunnlaget utvikler seg, bruksmønsteret endres, modeller oppdateres og konteksten systemet brukes i forandrer seg.

Et system som fungerte godt for seks måneder siden kan derfor gi helt andre resultater i dag. Derfor er løpende overvåking avgjørende. Hos oss handler dette blant annet om å følge opp endringer i ytelse, avvik og hendelser, brukeradferd, nye regulatoriske krav og endringer hos leverandører. Governance er ikke et engangsprosjekt. Det er en kontinuerlig prosess.

Områder mange virksomheter fortsatt mangler kontroll på

Basert på erfaring ser vi at mange virksomheter fortsatt har utfordringer på noen sentrale områder innen AI governance.

Leverandørstyring handler ikke bare om innkjøp, men om forståelse av risiko. Vet dere hvilke data KI-leverandørene trener på, hvilke tredjeparter som er involvert, og hva som skjer med dataene som sendes inn i systemene?

Hendelseshåndtering blir stadig viktigere etter hvert som KI brukes i beslutningsprosesser. Hva skjer dersom et system gir feil anbefalinger eller uventede resultater? Er det tydelig definert hvem som varsles, hvem som vurderer situasjonen og hvem som har myndighet til å stoppe systemet?

Løpende overvåking er nødvendig fordi KI-systemer ikke er statiske. Modeller, data og bruksmønstre endrer seg over tid. Et system som fungerte godt for seks måneder siden kan gi helt andre resultater i dag.

Dokumentasjon er også et område mange undervurderer. Kan dere dokumentere hvorfor et system er klassifisert som høy-risiko eller ikke? EU AI Act stiller tydelige krav til sporbarhet og begrunnelser.

Utforsking er også en del av ansvarlig KI

God styring handler ikke om å begrense innovasjon. Det handler om å gjøre innovasjon tryggere. Mange virksomheter står nå i en krevende balansegang. De ønsker å øke tempoet i KI-adopsjonen, samtidig som de ønsker kontroll, ansvarlighet og trygghet. Vi mener det er avgjørende å gi ansatte og ledere rom til å utforske KI-verktøy i praksis. Erfaring med teknologien gjør det lettere å forstå:

• hva som faktisk skaper verdi
• hvor begrensningene ligger
• hvilke risikoer som oppstår i bruk
• hva som er hype, og hva som har reell effekt

Virksomheter som lykkes med KI fremover vil ikke nødvendigvis være de som tar i bruk flest verktøy raskest. Det vil være de som klarer å kombinere innovasjon med styring, og bygge tillit samtidig som teknologien tas i bruk.

Fem spørsmål ledelsen bør kunne svare på i dag

For mange virksomheter er dette et godt sted å starte:

1. Oversikt: Vet vi hvilke KI-systemer som brukes i virksomheten?
2. Risiko: Har systemene blitt klassifisert og vurdert?
3. Kompetanse: Har ansatte fått opplæring i ansvarlig bruk?
4. Ansvar: Er eierskap og eskaleringsveier definert?
5. Oppfølging: Overvåkes systemene løpende?

Hvis svaret er nei på flere av disse spørsmålene, er det sannsynligvis ikke teknologien som er den største risikoen. Det er mangelen på styring.

Ansvarlig KI handler om tillit

Med forslag om å utsette deler av EU AI Act kan det være fristende å tenke at man har god tid. Men ansvaret overfor ansatte, kandidater og kunder venter ikke på regulatoriske frister. Vi opplever at mange virksomheter nå forsøker å etablere en mer strukturert tilnærming til AI governance, samtidig som de ønsker å bevare innovasjonstakten. Det krever ofte samarbeid mellom HR, teknologi, sikkerhet, compliance og ledelse, områder som tradisjonelt har jobbet separat.

Ansvarlig KI er ikke ett tiltak. Det er et system av tiltak som må fungere sammen: oversikt, risikovurdering, kompetanse, ledelsesforankring og løpende oppfølging.
Vi er ikke i mål. Men vi har bygget grunnmuren. Ønsker dere å forstå hvor modne dere er på AI governance, eller diskutere hvordan ansvarlig KI kan operasjonaliseres i praksis?