CSR-Fonden

Vi går op i CSR

andre

AI-governance som en del af ansvarlig forretningsdrift

admin

Ansvarlig forretningsdrift har i mange år været et af de begreber, der lever et liv mellem CSR-rapporter og styringsdokumenter. Det er rigtige ord, der står rigtige steder. Spørgsmålet er, om de også står i de beslutninger, der bliver taget tirsdag eftermiddag, når en medarbejder beder ChatGPT om at skrive et udkast til en kundeaftale.

Det er her AI-governance gør sig fortjent eller fortabt.

Jeg oplever en tendens. Bestyrelser taler om AI som strategi. Compliance-funktionen taler om AI som risiko. Driften taler om AI som værktøj. Tre forskellige sprog, samme organisation. Når der ikke er en fælles ramme, så fylder den, der råber højest, det meste af pladsen. Det er sjældent en god styringsmodel.

EU’s AI-forordning, som Kommissionen kalder en risikobaseret regulering, er en del af det landskab nu. Den kategoriserer systemer som forbudte, højrisiko, transparenskrævende eller minimal risiko, og pålægger forskellige pligter alt efter kategori. Kilde: European Commission, regulatory framework on AI, tilgået maj 2026.

For ansvarlige virksomheder bør AI Act ikke være den primære motivation for at indføre governance. Den bør være en bekræftelse af det, man burde gøre alligevel.

Hvad indebærer det så i praksis?

For det første: et ejerskab. En person eller en lille gruppe, der har ansvar for, hvordan AI bruges i organisationen. Ikke en hjemmeside med en politik. Et menneske med en kalender og en beslutningskompetence.

For det andet: en kortlægning. Hvilke AI-anvendelser findes der allerede i huset? Mange ledelser opdager først her, at brugen er bredere end antaget. Det er ikke et problem i sig selv. Det bliver det først, hvis ingen kender omfanget.

For det tredje: en linje mellem hvad medarbejdere må og ikke må uden yderligere godkendelse. Skrive interne udkast er typisk fint. Bruge AI til kundepersondata, kontraktforslag eller HR-vurderinger er noget andet. Den linje skal være skriftlig, kendt og forstået.

For det fjerde: et logspor. Når AI er med i en beslutning, der har konsekvenser, så skal det kunne ses. Audit-trail er ikke teknisk pynt. Det er det, der gør governance til mere end intentioner.

Et særligt element er kravet om AI-færdigheder. Digitaliseringsstyrelsen beskriver, at virksomheder, der bruger eller udvikler AI-systemer, skal sikre relevante AI-færdigheder hos medarbejdere og samarbejdspartnere, der arbejder med systemerne på vegne af organisationen. Forpligtelsen har været gældende fra 2. februar 2025. Kilde: Digitaliseringsstyrelsen, AI-færdigheder, tilgået maj 2026. Det betyder, at uddannelse ikke længere er en frivillig HR-aktivitet. Det er en governance-pligt.

CSR- og governance-rådgivere kender allerede den øvelse fra andre felter. Klima, arbejdsmiljø, datasikkerhed. Mønstret er det samme. Først kommer kortlægningen, derefter politikken, derefter træningen, derefter opfølgningen. AI er ikke en undtagelse. Det er bare et hurtigere felt.

For ledelser og bestyrelser, der vil have struktureret hjælp til at lægge rammerne, kender jeg HverdagsAI’s arbejde med AI Act-rådgivning. Det er ikke juridisk rådgivning, og en advokat eller jeres compliance-funktion skal stadig inddrages på de paragraffer, hvor det er nødvendigt. Men det er en operativ ramme, der gør det muligt at gå fra principper til konkrete arbejdsgange.

En sidste observation. De virksomheder, jeg har set lykkes bedst med AI-governance, har én fællestræk: de begynder før de skal. De venter ikke på en hændelse, en sag eller et eksternt krav. De bygger rammerne, mens diskussionen stadig er rolig. Det er ikke specielt heroisk. Det er bare voksent.

Ansvarlig forretningsdrift handler om mange ting. Lige nu handler det også om, hvordan AI integreres i hverdagens beslutninger, og hvem der har taget stilling til hvad. Den samtale skal foregå i bestyrelseslokalet, ikke i kommentarsporet.