AI kræver nye kompetencer i de tre forsvarslinjer

Af Tue Jagtfelt, selvstændig konsulent og rådgiver.

Klummen er alene et udtryk for forfatterens synspunkter.

AI er ved at rykke fra eksperimenter til forretningskritisk infrastruktur i finanssektoren. Det giver flere fordele samt kan øge produktiviteten betydeligt – men AI introducerer også nye risici.

Spørgsmålet er, om governance‑modellerne følger med?

I det følgende ser jeg nærmere på, hvad AI betyder for compliance-risikostyringen og de tre forsvarslinjer. Først beskrives multiplikator-effekten af AI, for det eksterne og interne miljø, og der gives eksempler på, hvorledes denne effekt rammer de tre forsvarslinjer.

Til slut argumenterer jeg for, at AI vil kræve nye kompetencer samt nye tilpassede AI-rammeværk for at håndtere det nye risikobillede.

AI som multiplikator

AI kan, uden tvivl, øge effektivitet, produktivitet og innovation i alt fra kundeservice til automatisering af processer og selv understøtte avanceret risikostyring.

Modsætningsvis forstærker og forøger teknologien også eksisterende eksterne trusler som cyberangreb, svindel og AML-risici.

AI er med andre ord en multiplikator, som øger både forretningsmuligheder og risici samtidig. Herunder også risici forbundet med udfordringer som datakvalitet, bias, hallucinationer og afhængighed af tredjepartsmodeller (e.g. AI vil sætte krav til bl.a. ens leverandørers brug og styring af AI i øko-systemet).

Bank for International Settlements (BIS) fremhæver, at AI både forbedrer finansielle processer, men samtidig øger behovet for stærkere governance, datastyring og teknisk kompetence i organisationerne.

Udover mulitplikator-effekten for interne såvel som eksterne risici er der tillige et øget regulatorisk tiltag i form af nye lovkrav samt tilhørende tilsyn.

EU's AI forordning vil bl.a. stille krav om dokumenteret risikostyring, transparens, datakvalitet og løbende overvågning af AI-modeller (for kritiske systemer).

KPMG påpeger bl.a. i denne sammenhæng, at ´AI literacy´ (e.g. AI-forståelse) nu bliver et egentligt compliance-krav i finansielle virksomheder.

Samtidig skærper GDPR, DORA og AIA forventninger til kundekendskabsprocesser (KYC), kravene til dokumentation, forklarbarhed og kontrolmiljø.

(Artiklen fortsætter efter boksen)

Tre risikoområder

Som sammenfatning sætter brug af AI således – og i kontekst af multiplikator-effekten - særlige krav til 3 centrale områder i finanssektoren, som repræsenterer tre særlige risikoområder (High Risk):

Cyber- og informationssikkerhed: AI gør angreb mere avancerede og kræver styrkede sikkerhedsforanstaltninger. Risici kan forventes at stige (analyser indikerer allerede dette) grundet øget frekvens, kompleksitet samt effekt af cyber angreb, understøttet af AI.
Finansiel kriminalitet og AML: AI bruges både af kriminelle til at omgå kontroller og til at innoverer og udvikle nye metoder til kriminalitet. Her kan risici også forventes at øges grundet den voksende kompleksitet af metoder og den generelle øget frekvens af AML aktivitet, understøttet af AI.
KYC og kundekendskab: Selvom AI kan styrke identitetsverifikation, screening og risikoklassificering internt, introducerer AI samtidig også nye risici. Fejlklassifikationer, bias i datagrundlaget, automatiserede beslutninger uden forklarbarhed og risikoen for AI genererede syntetiske identiteter kan øge presset på KYC kontroller. EBA understreger bl.a., at AI understøttede KYC processer kræver skærpet governance, dokumentation og løbende tilsyn.

I takt med, at mange finansielle institutioner bevæger sig fra AI-pilotprojekter til operationel skalering, vil introduktion, brug og implementering samt videre udvikling af AI derfor også sætte særlige krav til udvikling og styrkelse af de interne Risk- og Compliance-funktioner.

Dette er en naturlig konsekvens af den stadig stigende brug af AI og dens multiplikator-effekt – internt som ekstern.

Læs også

Compliance under pres: Flere ressourcer er ikke altid den mest effektive løsning

Trods milliardinvesteringer og voksende compliance-afdelinger er mange finansvirksomheder og deres ansatte udfordret af de mange reguleringer. Ifølge en ekspert bør arbejdet med regulering gentænkes og moderniseres.

Sådan påvirkes de 3 forsvarslinjer

De fleste undersøgelser argumenterer for, at AI's risici og fordele kun kan realiseres sikkert, hvis finansielle virksomheder aktivt tilpasser deres tre forsvarslinjer.

Det kræver en klar stillingtagen til struktur, kompetencer, værktøjer og prioriteret fokus i hver forsvarslinje:

Første forsvarslinje: Forretningen skal kunne udvikle og anvende AI ansvarligt og i overensstemmelse med lovgivning samt kunne identificerer særlige AI-risici.
Anden forsvarslinje: Risk og Compliance skal besidde dybere teknisk og metodisk forståelse af AI risici, således at disse funktioner kan rådgive og vejlede om styring af risici i henhold til organisationens politik.
Tredje forsvarslinje: Intern revision skal kunne udfordre og revidere AI kontroller og foranstalgninger med samme styrke som traditionelle risikoområder og rapportere meningsfyldt til den øverste ledelse.

Uden denne kapacitets- og kompetenceopbygning på tværs af linjerne kan sektoren ikke udnytte – ud fra en præmis om kontrolleret risikostyring – AI's fulde potentiale eller håndtere de nye risici, som teknologien introducerer i det interne og eksterne forretnings-miljø.

Forretningen – første forsvarslinje – vil i stigende grad være ansvarlig for at udvikle og anvende AI-løsninger på en måde, der er teknisk robust og regulatorisk forsvarlig.

Dette kræver udbygning af kompetencer og nye processer.

Det indebærer, at udviklings- og driftsmiljøer arbejder efter faste principper for datakvalitet, fairness, forklarbarhed og dokumentation, som beskrevet i f.eks. ISO/IEC 42001 og OECD’s AI-principper.

Samtidig skal forretningen kunne anvende moderne MLOps platforme (ML, Machine Learning), til sikring af løbende monitorering samt etablere klare roller som modelejere og data stewards.

Kompetencemæssigt vil certificeringer som f.eks. Microsoft AI Engineer for udvalgt personale være relevante for at sikre et fælles fagligt fundament, tillige med fastlæggelse af nødvendige AI-foranstaltninger for det operationelle lag.

Anden forsvarslinje – Risk og Compliance – skal kunne udfordre forretningen på både metodiske og tekniske aspekter inden for LLM (Large Language Models), datasikkerhed og ”Alignment” (AI-begreb om sikring af at AI anvendes ud fra menneskelige værdier, hensigter og etiske principper udover traditionelle GDPR-krav).

Dette kræver også nye kompetencer og processer.

Her bliver det nødvendigt at udbygge risikostyringsrammer, der dækker hele AI-modellivscyklussen, og som er i overensstemmelse med krav fra bl.a. EU’s AI forordning, GDPR og DORA.

Institutionelle rammeværk som bl.a. ENISA’s Multilayer Framework for Good Cybersecurity Practices for AI giver nogle vejledende principper for dette.

Krav til kritisk infrastruktur vil med mere få stigende betydning for, hvordan kontrolmiljøer designes og dokumenteres.

Risk og Compliance skal derfor kunne gennemføre uafhængige modelvalideringer, forstå tekniske risici som modeldrift og bias (AI kræver vedvarende administration) og derved omsætte regulatoriske krav til konkrete kontroller.

Træning af personale inden for 2-forsvarslinje samt udvikling af nye AI-procedurer vil være centrale for at understøtte denne kapabilitet i organisationen. Dette forudsætter tillige, at der etableres nye AI-poltikker, og at disse kommunikeres bredt.

Tredje forsvarslinje – Intern revision – skal kunne revidere AI-kontroller og rammeværk med samme styrke som traditionelle risikoområder og have rapporteringsformater til at kunne formidle forståelige risici til den øverste ledelse.

Det kræver nye revisionsmetoder, der kan håndtere nye koncepter, AI-modeller, komplekse datagrundlag og AI-beslutningsprocesser (også de automatiserede og AI-understøttede).

Revisionsarbejdet kan forankres i rammeværk som IIA’s Global Internal Audit Standards (2024) og kommende tekniske vejledninger til EUs AIA (AI-forordning).

Intern revision skal kunne udføre egne tekniske tests, analysere audit spor og vurdere, om organisationens AI-governance er tilstrækkelig moden.

Dette kræver, at der findes et normativt rammværk (politikker, processer og procedure) til at kunne måle og rapporter imod.

Certificeringer som ISACAs CISA, CRISC, AAIA eller ISO/IEC 42001 Lead Auditor ville være relevante for at løfte disse kompetencekrav for organisationens personale.

En organisatorisk transformation

På tværs af alle tre linjer bliver det tydeligt, at AI ikke blot er en teknologisk udvikling, men en organisatorisk transformation, der kræver nye kompetencer, nye roller og nye måder at gøre tingene på, med specifikt fokus på AI.

For at sikre en ansvarlig og stabil adoption af AI i finanssektoren bør en af de initiale tiltag derfor være rettet mod de tre forsvarslinjer selv.

Det er her fundamentet for en sikker, effektiv og fremtidssikret anvendelse af AI i forretningen etableres. Har ledelsen fx de rigtige feedback-loops for AI-risici?

De tre forsvarslinjer samt en styrket AI-governance er derfor essentiel for den videre brug og udvikling af AI i den finansielle sektor og til styring af de øget eksterne risici som multikator-effekten har for alle finansielle enheder.

Implementering af AI vil ikke kun ændre forretningsprocesser, men hele risici-landskabet - hvorvidt organisationer gør brug af AI eller afventer dens implementering.

Læs også

EU tager fat på omfattende digital oprydning: Det skal du vide

EU’s enorme Digital Omnibus skal rydde op i årevis af overlappende digital regulering. Pakken lover færre administrative byrder og mindre kompleksitet, der kan få stor betydning for finanssektoren. Men alt sammen er stadig kun et udkast. It-advokat Jesper Løffler Nielsen gennemgår de vigtigste punkter.