Allerede i 2016 luftet selskapet Tieto ideen om å la kunstig intelligens (KI) ta plass ved styrebordet. Det er ikke norsk lov moden for, ettersom styreansvaret er personlig. Men KI vil få sektorovergripende betydning, som KI-forsker Inga Strümke har påpekt på Dagsrevyen, skriver Andreas Bjørnebye og Mads Ribe.
Om selskapenes styrer skal være forberedt på hva som kommer, må de ha den riktige kompetansen. Bør eksisterende roller gis mer ansvar, bør det ansettes en med særlig kompetanse på KI.
Eller er fremtiden en ny, digital kollega?
Ny kompetanse og riktig styring blir viktig
Det er styrets hovedansvar å utarbeide strategi og sette retning for selskapet. I tillegg skal det ha kontroll på risiko og regelverk selskapet må forholde seg til.
Med ny teknologi kommer behov for ny kompetanse. KI favner bredt, og kun teknisk kompetanse eller tilgang på den «riktige» type kunstig intelligens er ikke nok. Selskapene bør både ha en strategi for å bruke teknologien riktig for å hente ut effektiviseringsgevinster, og ha gode retningslinjer og en styringsstruktur for bruk av teknologien.
Riktig styring kan sikre at selskapet holder seg innenfor regulatoriske rammer, men også gi styret kontroll på hva selskapet utvikler, hvordan KI brukes og på hvilken måte. Dette har også Oljefondets sjef Nicolai Tangen etterlyst i Financial Times, med varslede etiske standarder for selskaper i sin investeringsportefølje i august.
Vil EUs regelverk kreve en ny stol rundt styrebordet?
EU er på trappene med et nytt, omfattende regelverk for å regulere KI, som etter planen skal vedtas av EU-parlamentet før sommerferien. EUs nye regelverk vil ikke bare gjelde de globale gigantene innen kunstig intelligens, som Amazon, Meta, Google, men også mindre selskaper som tilbyr, importerer, eller distribuerer KI-verktøy.
«Det vil trenges en god forståelse av samspillet mellom teknologi og EUs grunnleggende verdier. For noen selskaper vil dette være så sentralt at de vil være tjent med en klar ansvarsplassering for kunstig intelligens.»
Regelverket vil også innføre et eget regime for såkalte fundamentmodeller, det vil si generell KI og generative modeller som GPT. Disse har potensialet til å påvirke alle deler av samfunnslivet, som helse, sikkerhet og grunnleggende rettigheter. Det kommende regimet vil kreve særlige åpenhets- og rapporteringskrav, og en del KI skal også ha kvalitetskontrollsystemer og menneskelig oversyn og prosedyrer for å melde avvik til myndighetene.
Dette må virksomheten ha kontroll på fremover.
Inspirert av EUs personvernforordning
Regelverkets sanksjoner er kraftige og klart inspirert av EUs personvernforordning, GDPR. Da GDPR ble innført, lyktes EU å presse personvern inn på styreagendaene.
Riset bak speilet var store bøter (4 prosent av global omsetning/20 millioner euro). Det gjorde at de fleste selskap satte søkelyset på personvern. Det samme har vi sett med aktivitets- og redegjørelsesplikten, og åpenhetsloven.
Regelverket for KI strammer til kraftigere enn GDPR, og truer med bøter opp til 6 prosent av konsernets omsetning, eller 30 millioner euro, for selskaper som utvikler eller bruker KI i strid med loven. Det alene burde være nok til å sette KI på dagsorden rundt de fleste styrebord.
Teknologi og grunnleggende verdier
Når regelverket skaper en så klar nedside ved manglende etterlevelse rundt KI, er god regeletterlevelse og risikostyring selvfølgelig viktig. Men det vil bare være den ene siden av selskapets arbeid med KI.
Regelverket fremhever at KI også har sider mot grunnleggende rettigheter. Det innebærer at det vil trenges en god forståelse av samspillet mellom teknologi og EUs grunnleggende verdier. For noen selskaper vil dette være så sentralt at de vil være tjent med en klar ansvarsplassering for KI.
Myndighetenes fokus på balanse
Dette må tilpasses den enkelte virksomhet, men må ta inn over seg myndighetenes fokus på balansen mellom grunnleggende rettigheter, effektiviseringsgevinster og regulatoriske krav. De selskapene, som velger riktige grep tidlig, kan få en fordel ved at selskapet får en god forståelse for bruk og begrensningene i teknologien samtidig som risikoen for store bøter i det nye juridiske ansvaret EUs regelverk håndteres.
Dette kan skje som utvidelse av eksisterende ansvar i styret, et samarbeid i administrasjonen/C-suite, eller – som enkelte virksomheter gjorde rundt GDPR – som et tillegg til C-suite med en egen rolle med ansvar for KI.
Selv om kunstig intelligens bærer med seg løfter om automatisering, vil nok neppe disse regulatoriske risiki bli automatisk håndtert med det første. Denne stolen må inntil videre fylles av noen andre enn en digital kollega.