AI og regulering i finanssektoren: Hvorfor GenAI kræver ny governance

De ovennævnte analyser viser ligeledes, at GenAI-modeller kræver tværfunktionel styring, brug af risikoscorecards og et sæt af kontroller, der inkluderer både manuelle, automatiserede og forretningsmæssige greb. Ifølge McKinsey bør governance ikke blot inkludere modelrisiko, men også IP-rettigheder, dataetik, transparens og operationel robusthed. 

Hvad myndighederne forventer

Den kompetente myndighed fra dansk side vil blive Digitaliseringsstyrelsen, men de mangler stadig formelt at udpege, hvem der skal føre tilsyn med højrisiko systemerne.

Alt peger dog på, at det bliver sektor tilsyn og derfor finanstilsynet der skal lave tilsyn med den finansielle sektors højrisiko modeller. Både Finanstilsynet og den kommende EU AI-forordning fokuserer på: 

• Gennemsigtighed og forklarlighed: Hvordan er beslutninger truffet, og hvem bærer ansvaret? 

• Fairness og bias: Er modellen retfærdig og fri for diskriminerende mønstre? 

• Datahåndtering og oprindelse: Hvor kommer data fra, og er de egnede til formålet? 

• Validering og versionering: Kan tidligere versioner genskabes, og er validering dokumenteret? 

Digitaliseringsstyrelsen har ikke kommet med ret mange kommentarer til hvordan de vil gribe opgaven an, men skeler man til vores venner nede i Holland, så lyder budskaber, at deres kompetente myndighed vil starte med at vurdere virksomhedens AI-modenhed - altså ansvarlighed.   

EY’s syn: Responsible AI som nøgle til tillid og skalerbarhed

Hos EY ser vi ansvarlig AI – eller Responsible AI – som mere end et sæt regulatoriske krav. Det er en forudsætning for at skabe værdi med teknologien. Det handler om at sikre: 

• Menneskelig kontrol gennem “human-in-the-loop” og governance 

• Databeskyttelse og sikkerhed i henhold til bl.a. GDPR og AI-forordningen 

• Fairness og inklusion i modellernes output 

• Forklarlighed og transparens over for både myndigheder og kunder 

Vi arbejder ud fra syv etiske principper for Responsible AI, der understøtter hele AI-livscyklussen – fra design og test til monitorering og governance. Vi hjælper banker med: 

• At vurdere compliance-readiness og AI-modenhed 

• At etablere valideringsrammer med løbende kontrol og incident management 

• At træne organisationen i AI færdigheder og sikre, at governance og forretning hænger sammen 

Konklusion

For at sikre hurtigere time-to-market og samtidig leve op til regulatoriske forventninger og interne governance-krav, anbefaler vi, at banker starter med enkle, men effektive tiltag: 

• Definer AI-modeller: Identificer hvilke af jeres nuværende og kommende modeller, der er AI-modeller. Man kan med fordel kigge ind i kommissionens guideline til definition af AI.  

• Etabler et AI-modelregister: Få overblik over alle eksisterende og planlagte AI-modeller – det er grundlaget for governance, risikovurdering og prioritering. 

• Udpeg ansvarlige for AI-governance: Sørg for, at der er klare roller og ansvar for både udvikling, validering og drift. 

• Brug en 'tiering'-tilgang: Klassificér AI-modeller efter risiko og kompleksitet – ikke alle modeller kræver samme niveau af kontrol. Og tag samtidig stilling til jeres risiko appetit eksempelvis indenfor FinCrime.  

• Lav en valideringsskabelon: En standardiseret valideringsramme gør det muligt at genbruge governance-processer og forkorte godkendelsestiden. 

• Træn forretning og risikofunktioner i Responsible AI: Øget bevidsthed og fælles sprog om AI styrker samarbejdet og reducerer friktion. 

Banker, der tager disse skridt nu, vil stå stærkere – både i forhold til regulatorisk forventning og i realiseringen af AI's forretningspotentiale. 

Den finansielle sektor står over for en reguleringsmæssig virkelighed, hvor governance og ansvarlighed er en forudsætning for innovation. De institutioner, der kan dokumentere ansvarlig brug, forklarlighed og løbende kontrol, vil ikke blot være compliant – men også i front på teknologi, kundetillid og konkurrencekraft.