Styret vet at AI er viktig. Færre vet hva de faktisk skal gjøre med det. Elin Hauge, styreleder i Aboard og forretnings- og datastrategist, mener problemet sjelden er manglende interesse, men heller manglende struktur.

I mars publiserte Aboard en introduksjon til Hauges rammeverk for AI-diskusjoner (Bøtter) i styrerommet. Nå har hun fulgt opp med tre dybdeartikler, én for hver kategori hun mener alle styrer må forholde seg til. Samlet gir de et konkret og praksisnært bilde av hva AI egentlig krever av styret, avhengig av hvilken teknologi som faktisk er i spill.

Utgangspunktet er enkelt: AI er ikke én teknologi, men mange, med svært ulik risikoprofil og strategisk betydning. Uten et felles begrepsapparat ender styrediskusjoner lett med at noen tenker på chatboter, andre på autonome systemer og noen på store strategiske investeringer. Det må være tydelig hva som faktisk diskuteres. Uten denne tydeligheten vil resultatet være beslutninger som mangler forankring og innhold som ikke treffer.

Bøtte 1: Produktivitetsverktøy

Den første kategorien er de verktøyene de fleste allerede kjenner: ChatGPT, Copilot, Claude og lignende. Disse er raskt i ferd med å bli hygienefaktorer i arbeidslivet på samme måte som Excel ble det. Hauge er tydelig på hva dette betyr for styret: her handler det ikke om store strategiske veivalg, men om å sikre at organisasjonen har riktige lisenser og tydelige retningslinjer på plass.

Uten enterprise-lisenser og en klar policy vil ansatte bruke egne verktøy og private kontoer til å behandle konfidensiell informasjon. Det er ikke de ansatte som da bærer risikoen, det er selskapet. Hauge påpeker også at AI-loven stiller krav til AI-kompetanse i organisasjonen; at ledere og ansatte forstår grunnleggende prinsipper for ansvarlig bruk. Den kompetansen må starte øverst. (Det betyr ikke at alle må lære seg å prompte.) . 

Bøtte 2: AI-agenter

AI-agenter er autonome systemer som kan planlegge oppgaver, ta beslutninger og operere med begrenset menneskelig inngripen. De kaller på eksterne verktøy, kjører kode, leser databaser og interagerer med levende systemer. Det gjør dem kraftfulle, og det gjør dem til en styringsutfordring av en helt annen kaliber enn chatboter. Den andre kategorien er der risikobildet eskalerer betydelig.

Hauge er direkte: færre enn én av ti organisasjoner rapporterer om meningsfull finansiell avkastning fra AI-agenter, og bare 11 prosent har agenter i faktisk produksjon. Allikevel er entusiasmen stor og investeringene høye. For styret betyr det at spørsmålene må bli skarpere: Hvilke agenter kjører allerede i organisasjonen? Hvem har godkjent dem? Hvilken tilgang har de til data og systemer? Og hvem har ansvaret når noe går galt?

Fravær av policy er også en policy, bare en dårlig en. Hauge anbefaler blant annet at styret krever menneskelig kontroll ved alle agentstyrte beslutninger som berører økonomi, jus, compliance eller kunder, og at CISO gis eksplisitt mandat og budsjett for agentic AI-sikkerhet, separat fra det tradisjonelle IT-sikkerhetsarbeidet.

Bøtte 3: Digitale representasjoner av verdier

Den tredje og siste kategorien er der Hauge mener det virkelig store strategiske potensialet ligger. Paradoksalt nok er dette også der styrerommet (hittil) bruker minst tid. Virksomhetstilpassede AI-løsninger basert på selskapets egne data, prosesser og eiendeler, det som i noen sammenhenger kalles digitale tvillinger, kan fundamentalt endre hvordan selskapet konkurrerer.

Her handler det ikke om generativ AI og språkmodeller, men om god gammeldags maskinlæring og matematikk anvendt på strukturerte data. En produksjonslinje som forutsier nedetid. En logistikkmodell som optimerer ruter i sanntid. En forsikringsmodell trent på egne skadetall. Dette er teknologi som har eksistert i tiår, men som nå er tilgjengelig for langt flere og på langt flere bruksområder.

Hauge påpeker at de fleste selskaper allerede sitter på dataene som trengs. De trenger ikke kjøpe dem, skrape dem eller bygge dem fra bunnen. De ligger i operasjonelle systemer, sensorer, transaksjonslogger og forsyningskjeder. Spørsmålet er ikke om dataene finnes, men om noen har satt dem i arbeid. Styret som ikke stiller det spørsmålet, overlater sannsynligvis et betydelig konkurransefortrinn til andre.

Hva styret bør gjøre nå

På tvers av alle tre kategoriene er Hauges budskap det samme: styret kan ikke lenger nøye seg med generell interesse for AI. Det kreves reell kompetanse, tydelig ansvarsfordeling og strukturerte diskusjoner der alle vet hvilken type AI som faktisk er på agendaen. Styremedlemmer som bruker ChatGPT privat og kaller det AI-kompetanse, har ifølge Hauge ikke forstått rekkevidden av det de har ansvar for.

Et konkret startpunkt er å kartlegge hvilke AI-systemer som allerede er i bruk i organisasjonen, hvem som har godkjent dem og hvilken tilgang de har. Det er ikke et teknologispørsmål. Det er et styringsansvar.

Les hele artikkelserien på elinhauge.com: