Posted inBestyrelse og governance Compliance og governance

AI i bestyrelsesarbejde: use cases, risici, compliance og governance

No Comments
AI i bestyrelsesarbejde: use cases, risici, compliance og governance

AI i bestyrelsesarbejde: hvad er bestyrelsens egentlige opgave?

Bestyrelsens rolle i AI er ikke at vælge konkrete værktøjer eller bygge algoritmer, men at sikre strategisk retning, ansvarlig anvendelse og løbende kontrol. Du skal kunne prioritere, hvor AI skaber værdi, stille de rigtige spørgsmål til ledelsen og sikre, at risiko, compliance og governance er dokumenteret og forankret.

Det kræver, at bestyrelsen skelner skarpt mellem tre niveauer:

  • Strategisk tilsyn – hvordan AI understøtter forretningsmodel, konkurrenceevne og risikoprofil.
  • Operationel anvendelse – hvordan direktion og organisation bruger AI i produkter, processer og intern drift.
  • Regulatorisk compliance – hvordan virksomheden lever op til AI Act, GDPR, DORA (for finansielle aktører) og øvrige governance-krav.

I praksis fordeler ansvaret sig typisk sådan:

  • Bestyrelsen har tilsynsansvaret, godkender overordnede AI-principper, risikoniveau og større investeringer, og følger op via fast rapportering.
  • Direktionen omsætter strategien til konkrete use cases, organisation, politikker og procedurer.
  • CIO/CDO/IT-ledelse driver den tekniske implementering, sikkerhed og integration i systemlandskabet.
  • CFO har medansvar for økonomi, risici og prioritering af investeringer i AI.
  • Compliance/jura sikrer fortolkning af AI Act, GDPR, sektorkrav mv. og opbygger kontrol- og dokumentationsspor.

Som bestyrelse er opgaven derfor ikke at kunne alle tekniske detaljer, men at:

  • Kræve et klart billede af, hvor og hvordan AI bruges.
  • Sikre, at ansvar og roller er defineret – også ved tredjepartsleverandører.
  • Insistere på, at risiko, etik og lovgivning er tænkt ind fra start.
  • Gøre AI til et fast ledelses- og tilsynsemne, ikke et enkelt inspirationspunkt.

Hvis I mangler et fælles sprog for governance generelt, kan det være nyttigt at læse op på bestyrelsesansvar og governance-rammer, fx via kategorien bestyrelse og governance.

Hvilke AI-use cases bør bestyrelsen prioritere først?

Bestyrelsen bør prioritere AI-use cases, der giver høj forretningsværdi med lav eller moderat risiko og tydelig dataadgang. Typisk starter det med støtte til bestyrelsens eget arbejde og simple interne processer, før virksomheden bevæger sig ind i mere komplekse, kundevendte eller regulatorisk følsomme anvendelser.

Det er nyttigt at skelne mellem to grupper af use cases:

  • AI til bestyrelsens eget arbejde (produktivitet og bedre beslutningsgrundlag).
  • AI i forretningen (kunder, produkter, drift, risiko).

AI til bestyrelsens eget arbejde

Nogle af de mest oplagte og lavrisiko anvendelser er:

  • Sammenfatning af bestyrelsesmateriale – fx generering af korte resuméer, nøglepunkter og spørgsmål ud fra lange rapporter.
  • Forberedelse af spørgsmål til ledelsen – fx lade et værktøj foreslå kritiske spørgsmål til strategi, risiko eller investeringer på baggrund af materialet.
  • Review af governance-dokumenter – AI kan hjælpe med at identificere uoverensstemmelser, manglende afsnit eller uklare formuleringer i politikker og retningslinjer.
  • Indledende due diligence – ved opkøb eller partnerskaber kan AI give et første overblik over offentligt tilgængelig information om en virksomhed eller et marked.

Her er risikoniveauet typisk moderat, hvis I holder jer til godkendte enterprise-værktøjer, har databehandleraftale og er skarpe på, hvad der er fortroligt (mere om det senere).

AI i virksomhedens drift og forretning

Her bliver spændet større, både på værdi og risiko. Eksempler:

  • Kundeservice og chatbots – kan aflaste support, men indebærer omdømmerisiko, hvis svarene er forkerte eller uetiske.
  • Automatiseret dokumenthåndtering – fx kontraktreview eller fakturabehandling.
  • Beslutningsstøtte i kredit, fraud eller compliance – kan være højværdi, men også reguleret og højrisiko, især i finans.
  • Analyse af drifts- og produktionsdata – optimering, forecast, forebyggende vedligeholdelse mv.

En enkel prioriteringsmatrix til bestyrelsen

For at gøre valget operationelt kan bestyrelse og direktion vurdere hver use case ud fra fire kriterier:

  • Forretningsværdi – forbedrer det omsætning, omkostninger, kvalitet eller risikostyring markant?
  • Risiko – hvor alvorlige er konsekvenserne ved fejl (for kunder, økonomi, drift, omdømme)?
  • Datafølsomhed – er der persondata, fortrolige strategiske oplysninger eller regulerede data involveret?
  • Implementeringsomkostning og kompleksitet – kræver det store systemændringer, nye kompetencer eller tung leverandørstyring?

Som tommelfingerregel kan I bruge følgende simple logik:

Type Værdi Risiko & datafølsomhed Prioritet
Bestyrelsesmateriale-sammenfatning Middel-høj Kontrollerbar, hvis enterprise-setup Start her
Forberedelse af spørgsmål til ledelsen Middel Lav, ingen direkte kundepåvirkning Start her
Governance- og politikreview Middel Lav-middel Tidlig bølge
Kundeservice-chatbot Høj Middel-høj, omdømmerisiko Bølge 2 – med tydelig governance
AI i kredit- eller risikomodeller Meget høj Høj, ofte reguleret (high-risk) Senere – kræver moden governance

Pointen er ikke, at tabellen passer på alle, men at bestyrelsen aktivt vælger rækkefølgen. Start med lavere risiko og høj værdi, opbyg governance-erfaring, og bevæg jer så mod de mere følsomme områder.

Hvis du vil dykke mere ned i, hvordan AI kan bruges i drift og processer, kan du hente inspiration i kategorien automatisering og AI i praksis.

Hvilke risici ved AI skal bestyrelsen være opmærksom på?

AI-risici for bestyrelsen handler især om databrud, fejlbeslutninger, bias, leverandørafhængighed og manglende kontrol med shadow AI. Risikoen er størst der, hvor ansvar, data og dokumentation er uklart placeret, og hvor AI bruges som “sort boks” uden menneskelig kontrol.

En praktisk måde at se på risiko er at bruge kendte risikokategorier:

  • Operationel risiko – fx hvis AI-baserede processer fejler, så fakturaer ikke sendes, kontrakter håndteres forkert, eller kundesvar lammer supporten.
  • Compliance-risiko – brud på AI Act, GDPR eller sektorspecifik regulering som DORA for finansielle virksomheder.
  • Data breach risk – fortrolige oplysninger eller persondata lækkes til eksterne tjenester eller håndteres uden tilstrækkelig sikkerhed.
  • Modelrisiko – AI-modellen hallucinere (opfinder svar), er biased eller bygger på forkerte data og dermed trækker beslutninger i en forkert retning.
  • Omdømmerisiko – hvis kunder, medier eller myndigheder oplever, at virksomheden bruger AI uetisk, diskriminerende eller uforsvarligt.
  • Tredjepartsrisiko – afhængighed af få kritiske leverandører uden ordentlige kontrakter, dokumentation eller exit-planer.

Bestyrelsen kan ikke selv løse hver risiko, men skal sikre, at de bliver identificeret, ejet og styret. Det betyder typisk, at I beder om:

  • En samlet risikovurdering af de vigtigste AI-use cases.
  • En klar plan for “human oversight” – hvor og hvordan mennesker godkender kritiske beslutninger.
  • En oversigt over væsentlige AI-leverandører, deres ansvar, og hvilke krav virksomheden stiller til dem.
  • Politikker for, hvad medarbejdere må og ikke må bruge AI til (for at begrænse shadow AI).

Hvis virksomheden i forvejen arbejder struktureret med risikostyring, fx via rammerne i risikostyring og forsikring, kan AI-risici ofte indpasses i de eksisterende processer og rapporteringslinjer.

AI Act i bestyrelsesarbejde: hvad bør bestyrelsen sikre?

Bestyrelsen sikrer AI Act-compliance ved at kræve en kortlægning af alle AI-systemer, en risikoklassificering, dokumentation for højrisiko-systemer og løbende rapportering om kontrol, overvågning og ansvar. Loven er ikke kun jura; det er en styringsopgave på linje med øvrig governance.

EU’s AI Act trådte i kraft 1. august 2024. De fleste konkrete krav bliver dog først gældende fra 2. august 2026. Det giver virksomhederne et vindue til at få styr på governance og compliance – men det vindue er kort, hvis AI allerede bruges bredt.

Kernebegreber i AI Act – i bestyrelseslogik

AI Act arbejder groft sagt med:

  • Fire risikokategorier – fra uacceptabel risiko (forbudt), over høj risiko (streng regulering), til begrænset og minimal risiko.
  • Højrisiko-systemer – fx AI, der indgår i kreditvurdering, visse HR-processer eller andre kritiske beslutninger, hvor borgere eller virksomheder påvirkes væsentligt.
  • Human oversight – krav om menneskelig kontrol med vigtige beslutninger.
  • Transparens og dokumentation – man skal kunne forklare, hvordan systemet bruges, hvad det gør, og hvilke data og kontroller der ligger bag.

Bestyrelsen skal ikke selv klassificere hvert system, men bør sikre, at direktion og compliance-funktion har styr på processerne.

Fem konkrete krav, bestyrelsen bør stille

  1. AI-inventory – en opdateret oversigt over alle AI-systemer og -use cases i virksomheden (interne, eksterne og indlejret i andre systemer).
  2. Risikoklassificering – vurdering af hvert system i forhold til AI Acts risikokategorier og virksomhedens egne risikokriterier.
  3. Dokumentation for højrisiko-systemer – processer, data, test, kontroller og human oversight skal kunne dokumenteres og auditeres.
  4. Governance og ansvar – én eller flere navngivne ansvarlige for AI governance (typisk på direktionsniveau) og klare roller for IT, forretning og compliance.
  5. Plan for opdatering – AI Act og tilsynspraksis vil udvikle sig; virksomheden skal have en proces til at opdatere politikker, systemer og dokumentation.

En del virksomheder vælger at læne sig op ad standarder som ISO 42001 (ledelsessystem for AI), men det er ikke et lovkrav. Det vigtige for bestyrelsen er, at der er en systematik – ikke hvilken buzzword-ramme den sælges under.

Hvis I i forvejen har arbejdet med persondata og informationssikkerhed, fx via retningslinjer som dem, der beskrives under persondata, IT og informationssikkerhed, vil meget af tankegangen omkring dokumentation og kontroller være genkendelig.

Shadow AI og fortrolighed: hvordan undgår vi databrud?

Fortroligt bestyrelsesmateriale bør kun behandles i enterprise-versioner af godkendte AI-værktøjer med databehandleraftale. Brug aldrig private konti eller gratis forbrugerversioner til fortrolige oplysninger, fordi det skaber risiko for datalæk, manglende kontrol og uklar ansvarsplacering.

Shadow AI er, når medarbejdere (eller bestyrelsesmedlemmer) bruger AI-værktøjer uden godkendelse, styring eller dokumentation. Det sker ofte i bedste mening for at spare tid – men kan i praksis være den største enkelte risikofaktor omkring AI.

Praktiske do/don’t-regler for fortroligt materiale

Bestyrelsen bør sikre en klar politik, der som minimum siger:

  • Brug kun godkendte enterprise-værktøjer til fortrolige data (fx Copilot i virksomhedens Microsoft 365, ChatGPT Enterprise, Claude for Business eller lignende).
  • Altid virksomhedsoprettede konti – ingen privat Gmail, Apple-ID eller tilsvarende til bestyrelsesarbejde.
  • Databehandleraftale er et krav, når leverandøren behandler persondata eller andre følsomme oplysninger på virksomhedens vegne.
  • Gratis forbrugerversioner er forbudt til behandling af fortrolige oplysninger og persondata.
  • Ingen kopiering af hele bestyrelsespakker ind i et AI-værktøj uden klar godkendelse og tekniske sikkerhedsforanstaltninger.

En enkel governance-flow mod shadow AI

For at få styr på shadow AI kan virksomheden følge et simpelt flow, som bestyrelsen kan efterspørge:

  1. Opdage – kortlæg eksisterende brug via interviews, spørgeskemaer og systemlogning. Her kommer det ofte frem, at der bruges langt flere værktøjer end de officielt godkendte.
  2. Begrænse – indfør midlertidige retningslinjer, hvor bestemte datatyper (persondata, M&A-planer, strategiforlæg mv.) slet ikke må bruges i AI, før governance er på plads.
  3. Godkende – vælg et begrænset antal enterprise-værktøjer, få styr på kontrakter og databehandleraftaler, og kommuniker tydeligt, hvad der er “den rigtige vej” at gå.
  4. Overvåge – følg op via IT-logs, awareness-træning og stikprøver. Shadow AI forsvinder aldrig helt, men kan bringes inden for kontrollerbare rammer.

Her er der en klar kobling til virksomhedens generelle arbejde med IT-sikkerhed og cyberrisici. Hvis I vil styrke overblikket, kan I hente inspiration i kategorien IT-sikkerhed og cyberrisici.

Hvad skal en AI-governance-model indeholde?

En brugbar AI-governance-model skal have klare roller, en AI-politik, en risikoklassificering, godkendelsesprocesser, dokumentation og fast rapportering til bestyrelsen. Uden de seks elementer bliver AI enten for løs, for teknisk eller for afhængig af enkeltpersoner.

Et simpelt, men dækkende governance-setup kan bygges op omkring følgende byggesten:

1. Roller og ansvar

Definér, hvem der:

  • Er øverste ansvarlig for AI (direktionsmedlem).
  • Driver teknisk implementering (CIO/CDO/IT-ledelse).
  • Har forretningsansvar for hver væsentlig AI-use case.
  • Sikrer compliance og dokumentation (compliance/jura).
  • Rapporterer til bestyrelsen og opdaterer AI-inventory.

2. AI-politik og acceptable use

AI-politikken bør som minimum beskrive:

  • Formål og principper for brug af AI i virksomheden.
  • Hvilke værktøjer der er godkendt, og til hvad.
  • Hvilke datatyper der ikke må behandles i AI.
  • Krav til human oversight i kritiske beslutninger.
  • Roller, ansvar og konsekvenser ved brud på politikken.

Politikken er ikke kun et Word-dokument på intranettet. Den skal omsættes til konkrete retningslinjer, træning og tekniske begrænsninger.

3. Risikotaxonomi og klassificering

Virksomheden bør vælge en enkel måde at klassificere AI-use cases på, fx efter:

  • Forretningskritikalitet.
  • Datafølsomhed (persondata, finansielle data, forretningshemmeligheder).
  • Regulatorisk relevans (AI Act high-risk, GDPR, sektorregler).
  • Afhængighed af tredjepartsleverandører.

Bestyrelsen skal ikke se alle detaljer, men forstå hovedbilledet: hvor mange high-risk use cases har vi, og hvordan styres de?

4. Beslutnings- og godkendelsesproces

Der bør være en enkel beslutningsproces for nye AI-initiativer:

  1. Idé og business case – hvad er formål, forventet værdi og berørte processer?
  2. Risikovurdering – data, compliance, drift, omdømme.
  3. Teknisk vurdering – integration, sikkerhed, leverandørstyring.
  4. Godkendelse – mindre use cases godkendes i linjen; større eller high-risk kræver direktions- eller bestyrelsesbeslutning.
  5. Implementering og test – inkl. human oversight og fallback-plan.

5. Dokumentation og audit trail

For de væsentlige use cases bør virksomheden kunne dokumentere:

  • Formål og omfang.
  • Data og datakilder.
  • Vigtigste risikovurderinger.
  • Kontroller, inkl. menneskelig kontrol og kvalitetskontrol.
  • Væsentlige ændringer og incidents over tid.

Det behøver ikke være tunge rapporter, men det skal være nok til, at både bestyrelse og tilsyn kan se, at der er styr på tingene.

6. Rapportering og eskalation

Afslutningsvis skal governance-modellen indeholde:

  • En rapporteringscadence til bestyrelsen (se næste afsnit).
  • En escalation matrix – hvem involveres ved større incidents, databrud eller compliance-afvigelser?
  • En proces for løbende forbedring af politikker, kontroller og use cases.

Hvis virksomheden har en generel compliance- eller governance-ramme, fx som beskrevet under compliance og governance, bør AI-governance lægges ovenpå den, ikke ved siden af.

Hvordan skal AI rapporteres til bestyrelsen?

AI bør rapporteres til bestyrelsen som et fast ledelsespunkt, ikke som en engangsdrøftelse. Rapporteringen skal vise, hvilke use cases der kører, hvilke risici der er nye, hvilke compliance-krav der er relevante, og hvilken beslutning bestyrelsen skal træffe næste gang.

En praktisk model er at have AI som selvstændigt punkt eller underpunkt mindst to gange årligt, evt. oftere i regulerede eller stærkt AI-afhængige virksomheder. Hyppigheden bør afhænge af:

  • Hvor central AI er for forretningen.
  • Hvor mange high-risk use cases der er.
  • Hvor hurtigt der sker ændringer i værktøjer, modeller og regulering.

Forslag til indhold i en AI-board report

En typisk rapport til bestyrelsen kan struktureres sådan:

  • Overblik – kort status på AI-strategi, vigtigste use cases og ændringer siden sidst.
  • Use cases – opdateret liste med nye, ændrede eller lukkede use cases, inkl. hovedformål og ejerskab.
  • Risiko og incidents – væsentlige hændelser, nærved-episoder, læringer og opdaterede risikovurderinger.
  • Compliance-status – status på AI Act-forberedelse, GDPR-vurderinger, eventuelle tilsynsforventninger mv.
  • Leverandører – ændringer i kritiske AI-leverandører, kontrakter, audits og eventuelle problemer.
  • Næste beslutninger – konkrete beslutningspunkter, hvor bestyrelsen skal godkende, prioritere eller tage stilling til risikoniveau.

Pointen er, at AI-rapporten ikke kun er en orientering, men et styringsværktøj. Bestyrelsen skal kunne se, om retningen holder, og om risikoniveauet er acceptabelt.

Hvilke spørgsmål bør bestyrelsen stille om AI?

Bestyrelsen bør stille spørgsmål, der tester strategi, risiko, compliance og ansvar: hvad skaber værdi, hvem ejer løsningen, hvilke data bruges, hvilke risici er størst, og hvordan dokumenteres kontrollen?

Her er en enkel tjekliste, der kan bruges direkte i bestyrelseslokalet.

Strategiske spørgsmål

  • Hvilke 2-3 AI-use cases er vigtigst for vores strategi de næste 12-24 måneder?
  • Hvordan understøtter de vores forretningsmodel, kunder og konkurrenceevne?
  • Hvilken ikke-brug af AI anser vi som en risiko (fx hvis konkurrenter løber fra os)?

Risiko- og governance-spørgsmål

  • Hvordan ser vores AI-inventory ud – hvor bruger vi AI i dag, og hvor planlægger vi det?
  • Hvilke use cases vurderer vi som højrisiko, og hvorfor?
  • Hvem er ansvarlig for AI-governance, og hvilke rapporteringslinjer har vi?
  • Hvordan håndterer vi shadow AI og brug af uautoriserede værktøjer?

Compliance- og dokumentationsspørgsmål

  • Hvordan er vi forberedt på AI Act, og hvornår forventer vi at være fuldt på plads?
  • Hvordan sikrer vi, at AI-brug er i overensstemmelse med GDPR og vores øvrige compliance-krav?
  • Kan vi dokumentere formål, data, risikovurdering og kontroller for de vigtigste use cases?

Hvis ledelsen ikke kan svare kvalificeret på hovedparten af disse spørgsmål, er det et tydeligt signal om, at governance-niveauet endnu ikke matcher ambitionsniveauet for AI.

Hvordan kommer vi i gang med AI-governance i bestyrelsen?

Bestyrelsen bør starte med at kortlægge nuværende AI-brug, prioritere de vigtigste use cases, vedtage en governance- og policy-ramme og etablere fast rapportering. Det afgørende er ikke at komme først, men at komme styrbart i gang.

En praktisk 4-trins model kan se sådan ud:

Trin 1: Assess – få overblik

  • Kortlæg eksisterende og planlagt AI-brug på tværs af afdelinger og systemer.
  • Identificér, hvor der allerede er shadow AI, og hvilke data der bruges.
  • Vurdér jeres digitale modenhed – er processer, data og governance i forvejen relativt strukturerede, eller starter I nærmest fra nul?

Her kan generelle værktøjer til modenhedsvurdering, fx som dem der beskrives under tagget digital modenhed, være en hjælp.

Trin 2: Prioritize – vælg de rigtige første use cases

  • Brug den simple matrix med værdi, risiko, datafølsomhed og kompleksitet.
  • Vælg 2-3 use cases, der giver synlig værdi uden at presse jer for hårdt på risiko og compliance.
  • Udpeg en ansvarlig for hver use case på forretningssiden, ikke kun i IT.

Trin 3: Govern – etabler politik og rammer

  • Vedtag en AI-politik og konkrete retningslinjer for brug af AI-værktøjer.
  • Definér roller, ansvar og beslutningsprocesser på tværs af IT, forretning og compliance.
  • Få styr på kontrakter og databehandleraftaler med væsentlige AI-leverandører.

Her kan det være relevant at trække på eksisterende praksis for leverandørstyring og kontrakter, fx gennem viden om leverandørvalg og IT-outsourcing og kontrakter og kommerciel jura.

Trin 4: Monitor – sæt AI på årshjulet

  • Gør AI til et fast punkt på bestyrelsesårshjulet med aftalt frekvens.
  • Kræv en standardiseret AI-rapport, så udvikling og risikoniveau kan følges over tid.
  • Opdater politikker, use cases og risikovurderinger i takt med erfaringer og nye krav.

Hvis I arbejder struktureret med implementering af andre digitale initiativer, kan AI-governance kobles på eksisterende rammer for digital strategi og organisation eller generelle trin-for-trin-implementering.

Afsluttende takeaways til bestyrelsen

AI er ikke længere et tekniktema, du kan uddelegere væk. Det er et styringsspørgsmål på linje med finansiel risiko, cyberrisici og større strategiske investeringer. Som bestyrelse behøver du ikke være AI-ekspert, men du skal:

  • Gøre AI til et fast punkt i strategi- og risikodialogen.
  • Kræve et klart overblik over use cases, risici og leverandører.
  • Insistere på AI-politik, governance og dokumentation – især for højrisiko-områder.
  • Sikre, at fortrolighed og shadow AI håndteres, før noget går galt.
  • Starte enkelt og styrbart med få prioriterede use cases og bygge modenheden op derfra.

Med den tilgang kan AI blive en styrke for både bestyrelsens arbejde og virksomhedens udvikling, i stedet for en ukontrolleret risikofaktor på sidelinjen.

Bed om en løbende AI-inventarliste, risiko-heatmap pr. use case, antal og alvorlighed af AI-relaterede hændelser, modelperformance inkl. drift/afvigelser, datakvalitetsmålinger og økonomisk effekt versus budget. Anmod også om status på leverandøroverholdelse og compliance (AI Act, GDPR osv.). Frekvens: mindst kvartalsvis plus ad hoc ved større ændringer eller hændelser.
Kontrollér modelproveniens og træningsdata, krav om bias- og fairness-tests, sikkerheds- og databeskyttelsescertificeringer, SLA'er, revisions- og inspektionsrettigheder samt exit- og ansvarsbestemmelser. Vurder også leverandørens governance-modenhed og evne til at levere dokumentation til overholdelse af AI Act og GDPR.
Bestyrelsen behøver ikke dyb teknisk ekspertise, men bør have mindst én medlem med tilstrækkelig teknologiforståelse eller fast ekstern rådgiver til at udfordre ledelsen. Sørg for regelmæssig opdatering af bestyrelsesviden gennem målrettet træning og klare evalueringskriterier for komplekse beslutninger.
Kald på ekstern teknisk og etisk audit før ibrugtagning af højrisiko-use cases, ved løsninger med stor kunde- eller regulatorisk påvirkning, eller efter væsentlige modelændringer. Gentag validering mindst årligt eller ved signifikante performanceafvigelser, og kombiner teknisk audit med penetrationstest og datakvalitetskontrol.
Tags:

Comments

No comments yet. Why don’t you start the discussion?

Skriv et svar

Relaterede indlæg

Tilkoblet Bestyrelse og governance, Compliance og governance