Generativ AI har fått en självklar plats på företags agenda, och stora språkmodeller rullas ut i allt snabbare takt för att effektivisera interna processer och förbättra stödet till sina kunder.
Det handlar inte längre om huruvida AI ska införas eller inte, utan om hur det ska göras i enlighet med lokal regelefterlevnad på ett enhetligt sätt över nationsgränser. Här uppstår en utmaning för de företag som verkar i många olika länder och jurisdiktioner.
Ny forskning på stora språkmodellers beteende visar att systemen inte fungerar helt enhetligt, utan svaren som genereras påverkas av var modellerna tränas, var de används och vilka politiska eller kulturella antaganden som byggts in i dem. För globala företag, som behöver förhålla sig såväl till interna regelverk som att följa nationella lagar, uppstår en ny risk vad gäller regelefterlevnad – något som de traditionella, befintliga kontrollsystemen inte är anpassade för.
Utmaningar uppstår över gränser
Företag med verksamhet i flera länder förväntas förhålla sig till samma regler och etiska riktlinjer, även där lagarna skiljer sig åt. Språkmodeller gör detta mer vanskligt: Ett system som genererar regelrätta svar på en marknad, kan på en annan producera svar som strider mot lokal lagstiftning, interna riktlinjer eller dataskyddsregler. Sker detta i stor skala och utan tillsyn blir detta inte bara ett operativt irritationsmoment, utan en högst angelägen fråga om regelefterlevnad.
Dataskyddslagar kan användas för att illustrera problematiken. Regelverk som GDPR ställer långtgående krav på hur personuppgifter samlas in, behandlas och lagras. Samtidigt kräver många länder att data lagras inom det egna landets gränser eller att digitala tjänster anpassas nationellt, vilket i sin tur påverkar hur AI-tjänster tillhandahålls. Hur en fråga behandlas kan skilja sig åt beroende på vilket system den passerar och vilken data modellen har tränats på. För företagen kan AI se ut som ett sammanhållet system, men i verkligheten påverkas dess beteende av olika länders regelverk.
Fragmenteringen gör regelefterlevnad mer komplicerat än det först verkar. Hanteringen av personuppgifter kan till exempel leva upp till leverantörens krav, men ändå bryta mot företagets egna riktlinjer eller hur lagen tolkas regionalt. Eftersom skillnaderna uppstår inne i själva modellen – och inte i synliga processer – missas de ofta i traditionella granskningar, som främst fokuserar på behörigheter, kryptering och avtal.
Martin Fribrock, Country Manager Sweden, Finland and Baltics på TrendAI
Snabb AI utan styrning blir en risk
Problemet förstärks ytterligare när företagen pressas att agera snabbt. När styrelser och ledningsgrupper driver på införandet av AI för att behålla sin konkurrenskraft, sänka kostnader och inte minst för att inte halka efter andra aktörer, hamnar styrningen ofta efter. Om helhetsansvar för modellernas beteende saknas och varje enhet i företaget bara tar ansvar för AI-relaterade frågor kopplade till den egna avdelningen, ökar risken för felaktigheter. När problem väl uppstår har organisationer svårt att förklara hur besluten fattades och vem som bär ansvaret.
Därför måste nu AI-styrning bli en fråga för styrelsen. Generativa modeller kan inte behandlas som traditionell företagsmjukvara med ett förutsägbart beteende. De utvecklas kontinuerligt, förändras och reagerar olika beroende på sammanhang. Saknas en styrningsstruktur som tar höjd för denna verklighet tvingas man arbeta med regelefterlevnad reaktivt, i stället för att förebygga incidenter.
Effektiv styrning börjar med visibilitet. Multinationella företag måste förstå hur modellerna beter sig överallt där de verkar, oavsett land, språk eller regelverk. Det kräver att resultaten testas löpande och inte bara vid införandet. Granskningen bör kontrollera att svaren är förenliga med lagstiftningen, korrekta och sakliga, och att de inte medför rättsliga risker eller skadar företagets anseende.
Avslutningsvis behöver AI-styrning vara en del av den ordinarie riskhanteringen för att snabbt kunna följa upp och åtgärda avvikelser. Ska risken för glapp mellan olika delar av företaget minska, behöver också ansvarsfördelningen förtydligas, och det måste finnas klara mandat för val av modell, godkännande och löpande uppföljning. AI kan inte längre ses som en fråga för IT-avdelningen. Det har blivit en fråga om ansvar och kontroll, och det ansvaret måste ligga hos styrelsen. För ytterst handlar det om att säkerställa att innovation inte sker på bekostnad av regelefterlevnad och långsiktigt förtroende.
Martin Fribrock, Country Manager Sweden, Finland and Baltics på TrendAI
