Dette var temaet for det interessante og vellykkede halvdagsseminaret som IIAs nettverk for finans ønsket å rette søkelyset på i samlingen 20. januar.
Som nettverksleder Markus Lien Gripnar fra DNB forklarte i innledningen så er det viktig å være oppmerksom på de ulike regulatoriske byggesteinene for ansvarlig og effektiv bruk av kunstig intelligens (KI) for å kunne etterleve regelverket og imøtekomme tilsynsmyndighetenes forventninger på en god måte.
Gjennom fire godt forberedte og formidlede innlegg med litt ulike vinklinger så ble følgende tema gjennomgått:
- Hvordan KI – loven er bygget opp og hvordan du innretter deg
- Finanstilynets forventninger
- Beste praksis sett fra et forsikringsselskaps perspektiv
- Erfaringer fra anvendelse av KI i internrevisjonen i en bank
Seminaret hadde en god pedagogisk oppbygning og ved å lese avsnittene under kan du få en dypere innsikt i temaene som ble behandlet i de enkelte innleggene.
1- Bruk av KI – fra teori til praksis
Andreas Bjørnebye, Associate Partner og advokat i EY forklarte i sitt innlegg på en oversiktlig måte hvordan KI – loven er bygget opp og hvordan det nye regelverket vil påvirke næringslivet med henblikk på sentrale plikter og hvilke grep man bør ta for å fremme ansvarlig bruk. Han gikk videre gjennom hvordan utviklingen og anvendelsen av KI har skutt fart gjennom at modellenes evne til resonnere har blitt dramatisk bedre de senere årene, hvilket har gjort at stadig flere virksomheter ser en betydelig verdi i bruk av KI. Han forklarte at produktivitetsveksten fra bruk av KI forventes å bli størst innen kundebetjening, programutvikling, anbudsvurderinger (procurement) samt også innen risiko- og etterlevelsesvurderinger. Fortsatt er det imidlertid et betydelig behov for å etterprøve vurderingene og svarene som KI gir.
For å kunne etterleve KI – loven på en god måte så er det viktig at man tar utgangspunkt i formålet hvilket er at den har til hensikt å regulere at anvendelsen av KI skal være
- trygg
- transparent
- sporbar
- ikke- diskriminerende
- miljøvernvennlig
for å kunne ivareta Europas fundamentale menneskerettigheter knyttet til verdighet, frihet, solidaritet, medvirkning og rettferdighet.
2- Finanstilsynets forventninger
Jarleif Lødøen, senior tilsynsrådgiver i Finanstilsynet, fortalte at dehar vært av de tilsynene i Europa som helt siden 2003 som introduserte særskilte regulatoriske krav til styring og kontroll med IKT og utkontraktering i finanssektoren. Det fundamentale prinsippet er fortsatt at det er foretaket selv som må ta stilling til den risiko de står overfor. Dette gjelder uansett om man vurderer å ta i bruk ny eller gammel teknologi og om det finnes regulering eller ikke. Han forklarte videre på en god måte hvordan de nå planlegger å føre tilsyn med bruk av kunstig intelligens i finanssektoren. Områder de vil vurdere for å kontrollere hvordan finansforetakene innretter seg for å etterleve bestemmelsene omfatter KI-loven, Digital Operational Resilience Act («DORA-loven») og sektorlovgivning inkluderer styring (governance), gjennomføring av risikovurderinger, sikkerhetstiltak samt også etiske vurderinger og kompetanseoppbygging.
Selv om Finanstilsynet internt ikke har endelig konkludert med i hvilken seksjon ansvaret for å føre tilsyn med KI skal ligge, så er det allerede relativt godt klarlagt hvordan man vil gjennomføre tilsynet i henhold til eksisterende tilsynspraksis. Et viktig prinsipp er at virksomhetens bruk av KI skal innlemmes i de eksisterende rammeverkene for risikostyring, IKT-styring og internkontroll og ikke behandles som et særskilt, løsrevet tema. Tilsynstemaer som berører KI kan således være ett eller flere av de følgende:
1. Styring av og kontroll med KI
2. Rammeverk for risikostyring av KI
3. Cybersikkerhet
4. Datastyring (Data governance)
5. Tredjeparts KI (Third party AI & outsourcing)
6. Etikk og rettferdighet (Ethics and fairness)
7. Åpenhet og forklarbarhet (Transparency and explainability)
8. Menneskelig tilsyn (Human oversight)
3- Beste praksis sett fra et forsikringsselskaps perspektiv
Øystein Endal, AI Risk Officer i Gjensidige Forsikring, ga i sitt innlegg en rekke godeeksempler på hvordan kunstig intelligens bidrar til å skape verdi for en forsikringsvirksomhet.
Han eksemplifiserte hvordan Gjensidige anvender KI på 20 ulike områder, herunder risikoprising, svindelavdekking, kundebetjening (CRM),økonomistyring samt også innenfor en lang rekke strategiske og operasjonelle virksomhetsområder.
Han ga videre en rekke praktiske eksempler hvor han fortalte om hvordan konsernet håndterer og vurderer risiko knyttet til implementering og bruk av KI samt også hvordan KI anvendes ut fra en helhetlig integrert virksomhetsstyringsmodell som har helhetlig måloppnåelse til hensikt.
Gjensidiges policy for bruk av kunstig intelligens inneholder seks prinsipper:
1. Proporsjonalitet
2. rettferdighet og ikke-diskriminering
3. transparens og forklarbarhet
4. menneskelig oppsyn
5. data governance og dokumentasjon
6. robusthet og ytelse
All anvendelse registreres i et KI – register som omfatter system, modeller, anvendelsesområder, konsekvensutredninger samt risikoreduserende tiltak. Konsekvensutredningene foretas med henblikk både på berørte personer (kunder og ansatte) samt for selskapet selv, herunder forretningsaktiviteten inklusive finansielle, juridiske og omdømmerelaterte aspekter.
4- Erfaringer fra internrevisjonen i DNB
Ola Morseth-Nordbryhn, rådgiver i DNB Group Audit Technology & Support,
delte en rekke praktiske erfaringer med bruk av KI i revisjonsarbeidet, herunder hvordan KI har blitt tatt i bruk i konkrete revisjoner. DNB anvender Microsoft 365 Copilot applikasjonene til å øke kvaliteten og til å forenkle arbeidet både hva angår å frambringe relevant informasjon og for praktisk arbeid knyttet til bruk av applikasjoner som Excel og til møtereferater. Anvendelsen bestemmes – i tillegg til lovkrav – av tid, kost og kvalitet forbundet med anvendelsen. DNB er opptatt av å anvende beste praksis i sin bruk av teknologi og støtter seg således også til rammeverkene ISO/IEC 42001, NIST AI RMF, OWASP og ISACA i sitt arbeid. Han ga også en interessant beskrivelse av hvordan revisjonen har arbeidet med å identifisere relevante KI-temaer for revisjon i 2026 eksemplifisert med følgende spørsmål.
-Er satsingen i tråd med ønsket målsetning?
-Er AI-spesifikke risikoer vurdert?
-Har vi en tydelig og godt implementert AI-strategi?
-Er ansvarlige roller og mandater definert?
-Hvor moden er bedriften og de ansatte for endringene som kreves?
-Blir data fra [System X] benyttet av leverandøren til å trene sin AI-modell?
-Er vår AI-modell sikret mot bias og leverer korrekt informasjon?
-Vet vi om alle AI-systemer som brukes, og hva de brukes til?
I tillegg delte han en rekke refleksjoner fra en gjennomført revisjon av styring og kontroll knyttet til KI.
KI – loven i Norge – relevante lenker:
https://www.regjeringen.no/no/dokumenter/3112327/id3112327
https://nkom.no/ki/ki-loven-for-deghttps://www.datatilsynet.no/regelverk-og-verktoy/lover-og-regler/hoeringsuttalelser/horingsuttalelser-2025/horingssvar-om-ki-forordningen/
