7 AI-spesifikke kontroller i ISO 42001 som skiller den fra ISO 27001 

7 AI-spesifikke kontroller i ISO 42001 som skiller den fra ISO 27001 

Diskusjon om AI og ISO standarder

Mange virksomheter som arbeider med ISO 27001 opplever at ISO 42001 virker kjent. Begge standardene bygger på de samme prinsippene for ledelsesforankring, risikostyring og kontinuerlig forbedring. 

Likevel er ISO 42001 mer enn en AI-versjon av ISO 27001. Standarden introduserer flere kontroller som er spesielt utviklet for utfordringene kunstig intelligens skaper. Det handler ikke bare om informasjonssikkerhet, men også om konsekvenser for mennesker, datakvalitet, transparens og ansvarlig bruk av AI. 

Her er syv av de viktigste kontrollområdene som skiller ISO 42001 fra tradisjonelle styringssystemer. 

1. Konsekvensvurderinger av AI-systemer

Et sentralt krav i ISO 42001 er at virksomheten skal vurdere hvilke konsekvenser AI-systemer kan få for mennesker, grupper og samfunnet som helhet. 

Et AI-system kan fungere teknisk som forventet og samtidig skape uønskede konsekvenser. Det kan for eksempel påvirke ansettelsesprosesser, kundebehandling eller beslutningsgrunnlag på måter virksomheten ikke hadde forutsett. 

Dette perspektivet er langt mindre fremtredende i ISO 27001, hvor hovedfokuset er å beskytte informasjon og redusere sikkerhetsrisiko. 

2. Ansvarlig utvikling av AI-systemer

ISO 42001 legger stor vekt på hvordan AI-systemer utvikles. 

Virksomheten skal definere mål og prosesser for ansvarlig utvikling, slik at hensyn som kvalitet, pålitelighet, sikkerhet og etiske vurderinger blir en del av utviklingsarbeidet. 

Dette er et viktig skille fra tradisjonelle IT-systemer. For AI handler risiko ikke bare om teknologien, men også om hvordan systemet er designet, trent og tatt i bruk.

3. Verifikasjon og validering av AI-systemer

Tradisjonell programvare testes for å sikre at den fungerer som forventet. For AI er dette ikke tilstrekkelig. 

Et AI-system kan være teknisk korrekt og samtidig gi misvisende eller uønskede resultater. Derfor stiller ISO 42001 krav til verifikasjon og validering gjennom hele livsløpet. 

Virksomheten må kunne dokumentere hvordan AI-systemet er testet, hvilke kriterier som er brukt, og hvordan resultatene er vurdert. 

Jobber med ISO

4. Overvåking av AI-systemer i drift

En vanlig misforståelse er at AI-risiko vurderes én gang ved implementering. 

I praksis kan AI-systemer endre karakter over tid. Datagrunnlag kan utvikle seg, bruksmønstre kan endres, og resultatene kan bli dårligere enn forventet. 

ISO 42001 krever derfor at virksomheten etablerer prosesser for løpende overvåking av AI-systemenes ytelse og oppførsel. 

Dette er et område mange organisasjoner foreløpig har begrenset erfaring med. 

5. Datakvalitet og dataenes opprinnelse

Kvaliteten på et AI-system er tett knyttet til kvaliteten på dataene det bygger på. 

ISO 42001 inneholder derfor flere kontroller som omhandler datainnsamling, datakvalitet, datahåndtering og dokumentasjon av dataenes opprinnelse. 

For mange virksomheter vil dette være et av de mest krevende områdene. Det er ofte enklere å anskaffe et AI-verktøy enn å dokumentere kvaliteten på dataene som brukes til å trene, konfigurere eller drifte det. 

Dårlige data gir sjelden gode AI-resultater. 

6. Transparens og informasjon til interessenter

Brukere og andre interessenter må forstå hvordan AI-systemer påvirker dem. 

ISO 42001 legger derfor vekt på dokumentasjon, informasjon til brukere og rapportering av uønskede konsekvenser. 

Dette handler ikke nødvendigvis om å forklare alle tekniske detaljer, men om å gi tilstrekkelig informasjon til at brukere kan forstå systemets formål, begrensninger og risikoer. 

Transparens blir stadig viktigere etter hvert som AI tas i bruk i flere forretningskritiske prosesser. 

7. Tiltenkt bruk av AI-systemet

Et AI-system bør brukes til det formålet det er utviklet eller vurdert for. 

Dette kan virke selvsagt, men i praksis ser mange virksomheter at ansatte tar i bruk AI-verktøy på nye områder uten at risikoene er vurdert på forhånd. 

Et verktøy som er godkjent for å hjelpe med innholdsproduksjon, blir plutselig brukt som beslutningsstøtte, analyseverktøy eller kilde til faglige vurderinger. 

ISO 42001 adresserer denne utfordringen ved å kreve at virksomheten har kontroll på hva AI-systemer faktisk brukes til. 

Certain QMS

AI governance handler om mer enn sikkerhet

Virksomheter som allerede arbeider med ISO 27001 vil kjenne igjen mange av prinsippene i ISO 42001. Begge standardene handler om styring, ansvarlighet og risikohåndtering. 

Samtidig introduserer ISO 42001 flere nye perspektiver som er spesifikke for kunstig intelligens. Konsekvensvurderinger, datakvalitet, transparens og ansvarlig bruk er områder som sjelden får like stor oppmerksomhet i tradisjonelle styringssystemer. 

Det er nettopp disse kontrollene som gjør AI governance til noe mer enn informasjonssikkerhet. Målet er ikke bare å beskytte virksomheten mot risiko, men også å sikre at AI-systemer utvikles og brukes på en ansvarlig, etterprøvbar og tillitvekkende måte. 

Snakk med oss om styringssystemer for AI

Vi hjelper virksomheter med rådgivning, etablering og videreutvikling av styringssystemer for AI. Ta kontakt for å høre hvordan vi kan hjelpe deg!

Mirjam Meling

Mirjam Meling

Marketing & Communication Manager

Produserer innhold for Certain QMS om ledelsessystemer, kvalitetsstyring, informasjonssikkerhet og AI governance. Hun samarbeider med fagspesialister for å formidle komplekse temaer på en tydelig og praktisk måte.

eHåndbok for dokumentstyring i helsesektoren

eHåndbok for dokumentstyring i helsesektoren

ehåndbok dokumentstyring i helsesektoren

Dokumentmodulen i Certain QMS er kjernen i kvalitetsstyringssystemet og samler virksomhetens interne prosedyrer, retningslinjer, rutiner og annen styrende dokumentasjon på ett sted.

I mange år har løsningen vært brukt av store virksomheter i helsesektoren, der den omtales som eHåndbok, et begrep med lang historikk i sektoren. eHåndboken i Certain QMS fungerer som virksomhetens digitale oppslagsverk for både praktiske arbeidsrutiner og annen styrende dokumentasjon som danner grunnlaget for drift, internkontroll og systematisk kvalitetsarbeid.

Viktige funksjoner i eHåndboken

For å støtte kravene til dokumentstyring, internkontroll og kvalitet i helsesektoren, dekker eHåndboken i Certain QMS hele livsløpet til styrende dokumenter – fra utarbeidelse, intern høring og godkjenning til publisering, bruk og revisjon. Løsningen tilbyr blant annet: 

  • Fleksible og tilpassede dokumentmaler for ulike typer prosedyrer, retningslinjer og instrukser, slik at dokumentasjonen blir mer enhetlig og enklere å vedlikeholde.
  • Godkjenningsflyt og tydelige roller for hvem som kan redigere, kvalitetssikre, godkjenne og publisere dokumenter.
  • Avansert rolle- og tilgangsstyring, som kan kobles mot virksomhetens AD/Entra ID, slik at ansatte automatisk får tilgang til riktig innhold basert på rolle og enhet.
  • Skjerming av sensitiv informasjon, slik at deler av innholdet kun er tilgjengelig for definerte roller eller brukergrupper.
  • HTML-baserte og søkbare dokumenter, kombinert med mulighet for opplasting av ulike filformater og lenker til eksterne ressurser.
  • Endringsoppsummeringer, som gir brukerne rask oversikt over hva som er nytt eller endret i et dokument.
  • Leselister med kvittering, der ledere kan pålegge ansatte å lese utvalgte dokumenter og få dokumentert at dette er gjennomført.
  • Revisjonsfrister og automatiske varslinger, slik at dokumenter ikke blir liggende utdatert uten at ansvarlige blir fulgt opp.
  • Offentlig dokumentportal for ekstern publisering av utvalgte dokumenter, slik at prosedyrer, retningslinjer og annen informasjon kan deles på nett – uten innlogging.

Omfang og bruk av eHåndboken i helsesektoren

Tall fra de store helsevirksomhetene som bruker eHåndboken i Certain QMS, viser at løsningen ikke er et passivt dokumentarkiv, men et oppslagsverk som brukes aktivt og daglig av ansatte.

Brukstallene viser høy aktivitet, med tusenvis av dokumentåpninger daglig og et stort antall unike brukere over tid. Dette bekrefter eHåndbokens rolle som en sentral arbeidsflate for styrende dokumentasjon, både for klinisk personell, ledere og støttefunksjoner.

Eksempler på dokumentomfang og publisering:

Virksomhet Interne dokumenter Offentlige dokumenter
Oslo universitetssykehus HF ca. 33 000 ca. 8 000
Vestre Viken HF ca. 18 000 ca. 8 000
Helse Fonna HF 8 000+ ca. 500
Lovisenberg Diakonale Sykehus ca. 3 500 0*

 

ehåndbok helsesektoren

Offentlig dokumentportal – kontrollert deling av styrende dokumentasjon

Mange virksomheter har behov for å gjøre deler av dokumentasjonen tilgjengelig for eksterne brukere, samtidig som de ønsker full kontroll på innhold, versjoner og publisering. Med offentlig dokumentportal kan utvalgte dokumenter fra eHåndboken publiseres i en egen, åpen eHåndbok-portal som er tilgjengelig via nettleser, uten krav til innlogging. Dokumentene vedlikeholdes, godkjennes og revideres fortsatt i den samme løsningen, før de publiseres til den offentlige portalen.

I helsesektoren brukes dette blant annet til å dele pasientrettede prosedyrer, informasjon om tjenester, samarbeidsrutiner med fastleger og andre aktører, samt retningslinjer som skal være offentlig tilgjengelige. Når dokumentene oppdateres i eHåndboken, oppdateres de også automatisk i den offentlige portalen, noe som reduserer risikoen for at utdatert informasjon blir tilgjengelig eksternt.

Den offentlige dokumentportalen i Certain QMS gir dermed trygg offentlig tilgjengeliggjøring og deling av dokumenter, med full sporbarhet og revisjonskontroll ivaretatt i Certain QMS.

Erfaringer fra Oslo universitetssykehus

Oslo universitetssykehus (OUS) ble dannet i 2009 gjennom fusjonen av Rikshospitalet, Ullevål universitetssykehus og Aker universitetssykehus. Sykehuset er Europas største med 24.000 ansatte.

eHåndboken i en stor og kompleks organisasjon

OUS har brukt Certain QMS til effektiv dokumentstyring og kontroll siden 2010, og viser en moden og gjennomtenkt bruk av eHåndboken. Med et dokumentgrunnlag på flere titalls tusen interne dokumenter og daglig bruk fra mange tusen ansatte, fungerer løsningen som en sentral kunnskapsplattform på tvers av fag, roller og lokasjoner.

Bruken er høy gjennom hele året, med kontinuerlige oppslag i dokumenter som inngår direkte i både klinisk og administrativ arbeidshverdag.

Opplæring og rolleforståelse som nøkkel til god systembruk

Ved OUS er det lagt stor vekt på opplæring i bruk av eHåndboken, og det er etablert en egen intern støttefunksjon som bidrar til å bygge kompetanse hos brukerne over tid. Erfaringene viser at hvordan støtte og veiledning gis, har stor betydning for om ansatte blir trygge og selvstendige i bruken av systemet.

I stedet for å løse oppgaver på vegne av brukerne, har fokuset i stor grad vært på å forklare hvordan ulike roller skal arbeide i løsningen og hvordan oppgaver utføres riktig. Dette har bidratt til god rolleforståelse, høyere kvalitet i bruken av systemet og en tydelig reduksjon i antall supportsaker over tid.

Aktiv bruk og høy samhandling med innholdet

Bruksstatistikk viser at eHåndboken benyttes av mange tusen ansatte, med daglig oppslag i flere tusen dokumenter. Data fra OUS viser også at løsningen ikke bare besøkes, men brukes aktivt gjennom hele året.

Tallene indikerer høy grad av samhandling med innholdet, der ansatte navigerer mellom sider, åpner dokumenter, benytter søk og følger strukturen i håndboken – fremfor å hente enkeltdokumenter isolert.

Når opplæring bidrar til etterlevelse av kvalitet i praksis

Opplæring handler imidlertid ikke bare om å lære å bruke selve systemet, men om å sikre at kvalitetsarbeidet faktisk etterleves i praksis på tvers av hele organisasjonen. Ved OUS er eHåndboken tett koblet til e-læringskurs og kompetanseplaner knyttet til ulike roller, slik at ansatte får opplæring i både ansvar og arbeidsprosesser – ikke bare i funksjoner i løsningen.

For å sikre kvalitet i dokumentarbeidet må ansatte som skal ha skrivetilgang gjennomføre obligatorisk opplæring før tilgang gis. I tillegg brukes sjekklister i dokumentene for å støtte korrekt gjennomføring av sentrale oppgaver i arbeidshverdagen, og det anbefales repetisjon kort tid etter kurs for å sikre at kunnskapen omsettes til praksis.

OUS sin offentlige dokumentportal: En nasjonal referanse for prosedyrer og faglig praksis

Den offentlige dokumentportalen ved OUS brukes ikke bare internt, men er også aktivt benyttet av andre aktører i helsesektoren. Helsepersonell over hele landet kan søke opp hvordan OUS arbeider med ulike prosedyrer, behandlinger og inngrep, og bruke dette som veiledning i eget arbeid. På denne måten fungerer OUS i praksis som en nasjonal referanse for utforming av prosedyrer, innhold i rutiner og faglig praksis innen en rekke områder.

Dette henger tett sammen med rollen Oslo universitetssykehus har innen medisinsk forskning og utdanning av helsepersonell i Norge. Som universitetssykehus bidrar OUS i stor grad til utvikling av faglige standarder, og gjennom offentlig tilgjengelig dokumentasjon kan denne kunnskapen deles bredt i sektoren – på en strukturert, kvalitetssikret og oppdatert måte.

Se OUS sin offentlige del av eHåndboken her: ehandboken.ous-hf.no

Samlet sett viser erfaringene fra OUS hvordan eHåndboken kan brukes som et aktivt verktøy for kompetansebygging, kvalitet og effektiv drift – ikke bare som et sted der dokumenter lagres.

Fra dokumentasjon til kvalitet i praksis

I komplekse organisasjoner er god dokumentstyring en forutsetning for god og effektiv ledelse.

Erfaringer fra helsesektoren viser at verdien av eHåndboken virkelig realiseres når den er en naturlig del av arbeidshverdagen, der ansatte enkelt finner gjeldende rutiner og opplæring er tett knyttet til den styrende dokumentasjonen.

Over tid bidrar dette til felles praksis, færre feil og bedre grunnlag for forbedring – og erfaringene fra blant annet Oslo universitetssykehus viser at riktig struktur, tydelige roller og aktiv bruk gir varige gevinster for hele organisasjonen.

Marte Sunde

Marte Sunde

Business Consultant

Marte Sunde er Business Consultant for Certain QMS, med spesialisering innen kvalitetsledelse og HMS-systemer. Hun arbeider i skjæringspunktet mellom operativ praksis og digitale løsninger, og hjelper organisasjoner med å implementere og forbedre styringssystemer som sikrer etterlevelse, struktur og kontinuerlig forbedring.

EU AI Act readiness: Det første steget mot etterlevelse av AI Act 

EU AI Act readiness: Det første steget mot etterlevelse av AI Act 

EU Act readiness

AI Act (EU AI Act) er vedtatt i EU og forventes innført i norsk lov gjennom EØS-avtalen. Samtidig øker bruken av kunstig intelligens raskt i både offentlig og privat sektor. 

For mange ledere er spørsmålet ikke lenger om virksomheten bruker AI, men hvor mye den brukes, hvilke prosesser den påvirker, og hvilke krav som kan bli aktuelle når regelverket får virkning. 

Utfordringen er at mange virksomheter ikke har tilstrekkelig oversikt til å kunne svare på disse spørsmålene. Det er her AI Act readiness kommer inn. 

Hva er AI Act readiness?

AI Act readiness er en strukturert vurdering av virksomhetens bruk av kunstig intelligens med formål å identifisere hvordan AI Act kan påvirke organisasjonen. 

Vurderingen gir ledelsen et grunnlag for å forstå: 

  • hvilke AI-systemer som er i bruk  
  • hvilke prosesser som påvirkes av AI  
  • hvilke deler av virksomheten som kan omfattes av strengere krav  
  • hvilke tiltak som bør prioriteres videre  

Målet er ikke å dokumentere full etterlevelse av AI Act. Målet er å skaffe oversikt og forståelse nok til å kunne planlegge videre arbeid på en risikobasert måte. 

AI Act readiness rådgivere

Hvorfor bør virksomheter starte nå?

For de fleste organisasjoner vil den største utfordringen ikke være å skrive dokumentasjon eller etablere nye prosedyrer. Den største utfordringen vil være å forstå hvordan kunstig intelligens faktisk brukes i virksomheten. 

Jo større organisasjonen er, desto vanskeligere blir dette. 

AI brukes i dag gjennom: 

  • generative AI-verktøy som ChatGPT, Copilot og Gemini  
  • AI-funksjoner i eksisterende forretningssystemer  
  • analyse- og beslutningsstøtteverktøy  
  • leverandørløsninger som inneholder AI-funksjonalitet  

Mange virksomheter kan derfor ha en langt større AI-portefølje enn ledelsen er klar over. 

AI Act påvirker ikke alle virksomheter likt

AI Act er risikobasert og konsekvensene av regelverket avhenger i stor grad av hvordan AI brukes. Det betyr at ingen kan avgjøre hvor stor betydning AI Act får uten først å kartlegge virksomhetens AI-portefølje. 

Hva inngår i en AI Act readiness-vurdering?

En typisk vurdering vil omfatte følgende.

Kartlegging av AI-porteføljen

Hvilke AI-løsninger finnes i virksomheten? 

Analyse av bruksområder

Hvilke prosesser, beslutninger og arbeidsoppgaver påvirkes av AI? 

Vurdering av regulatorisk eksponering

Kan noen av løsningene omfattes av høyrisikokategoriene i AI Act? 

Vurdering av styring og kontroll

Har virksomheten tilstrekkelige retningslinjer, roller og prosesser for AI-bruk? 

Identifisering av tiltak

Hvilke områder bør prioriteres videre? 

AI Act readiness gir et beslutningsgrunnlag

Det er lett å hoppe rett til diskusjoner om AI governance, AI-policy eller ISO 42001. 

For mange virksomheter er det imidlertid vanskelig å vite hvilke tiltak som er nødvendige før de har fått oversikt over dagens situasjon. 

En AI Act readiness-vurdering gir ledelsen et faktabasert grunnlag for å vurdere risiko, prioriteringer og videre arbeid. 

For noen virksomheter vil vurderingen vise at dagens AI-bruk representerer begrenset regulatorisk risiko. For andre kan den avdekke behov for mer omfattende tiltak knyttet til styring, dokumentasjon og internkontroll. 

Vurdering av AI Act

Start med oversikt

AI Act kommer ikke til å påvirke alle virksomheter på samme måte. Hvor stor betydning regelverket får, avhenger av virksomhetens AI-portefølje, bruksområder og risikoprofil. 

Derfor er det første og viktigste steget å etablere oversikt. 

Virksomheter som starter dette arbeidet tidlig vil være bedre rustet til å møte både regulatoriske krav og den videre utviklingen innen kunstig intelligens. 

Snakk med oss om styringssystemer for AI

Vi hjelper virksomheter med rådgivning, etablering og videreutvikling av styringssystemer for AI. Ta kontakt for å høre hvordan vi kan hjelpe deg!

Mirjam Meling

Mirjam Meling

Marketing & Communication Manager

Produserer innhold for Certain QMS om ledelsessystemer, kvalitetsstyring, informasjonssikkerhet og AI governance. Hun samarbeider med fagspesialister for å formidle komplekse temaer på en tydelig og praktisk måte.

Kvalitetsstyring med et sentralt rammeverk og lokale tilpasninger

Kvalitetsstyring med et sentralt rammeverk og lokale tilpasninger

Kvalitetsstyring sentrale rammeverk i QMS

Når flere virksomheter skal samarbeide om kvalitetsstyring, oppstår ofte et felles behov: å dele struktur, krav og beste praksis samtidig som hver virksomhet må kunne tilpasse systemet til egen drift. Enten det gjelder konsern med etablerte HMSK-miljøer eller samarbeid mellom selvstendige virksomheter, handler det om å finne en god balanse mellom standardisering og lokal kontroll.

Certain QMS er utviklet for nettopp dette, med en løsning som gjør det mulig å bygge på et felles kvalitetsrammeverk samtidig som hver virksomhet beholder eierskap til sitt eget kvalitetssystem.

Når flere virksomheter skal dra nytte av samme kvalitetsrammeverk

I konsern og større virksomheter med egne HMSK-ressurser finnes det som regel etablerte strukturer og omfattende dokumentasjon i styringssystemet. Utfordringen er ofte å sikre at dette innholdet er tilgjengelig og enkelt å ta i bruk for alle deler av organisasjonen – på tvers av avdelinger og forretningsenheter.

I allianser og bransjesamarbeid er utgangspunktet ofte et annet. Her består samarbeidet gjerne av virksomheter med begrenset kapasitet til å utvikle og vedlikeholde et fullverdig kvalitetssystem på egen hånd. Behovet er derfor tilgang til ferdige strukturer, malverk og anbefalte arbeidsmetoder som kan brukes som utgangspunkt i egen virksomhet.

Begge situasjoner krever en løsning som gjør det mulig å dele kvalitetsinnhold på en strukturert måte, samtidig som hver virksomhet kan tilpasse systemet til egne forhold og sitt eget ansvar.

Støtte for felles kvalitetsrammeverk med lokale tilpasninger

Certain QMS er utviklet for å støtte begge disse scenarioene. Løsningen kan brukes både i organisasjoner der felles kvalitetsrammer er fastsatt sentralt, og i samarbeid der selvstendige virksomheter har blitt enige om å utvikle og bruke felles strukturer, malverk og arbeidsmetoder for kvalitetsstyring.

Én masterløsning – separate kvalitetssystemer

Det etableres en sentral «masterløsning» som fungerer som felles kvalitetsrammeverk med struktur, malverk og anbefalt oppsett for kvalitetsstyringssystemet. Innholdet i masterløsningen utvikles og vedlikeholdes av en sentral HMSK-funksjon eller en arbeidsgruppe med representanter fra de ulike virksomhetene.

Hvert selskap får sin egen installasjon av Certain QMS, som er basert på masterløsningen og integrert med den. Det gir felles struktur og innhold, samtidig som hvert selskap har egne brukere, egne data og fullt eierskap til sitt eget kvalitetsarbeid.

Slik kan flere virksomheter jobbe etter samme kvalitetsrammer, samtidig som systemet kan tilpasses lokal drift.

Slik fungerer det

Masterløsningen i Certain QMS kan konfigureres og tilpasses på flere nivåer, og fungerer både som en mal for systemoppsett og som et felles utgangspunkt for styrende dokumenter. Disse to delene håndteres litt ulikt.

Masterløsning som mal for systemstruktur og moduler

Certain QMS består av flere moduler for kvalitetsstyring, der masterløsningen kan inneholde ferdige oppsett, struktur og malverk, for eksempel for:

  • Dokumentstruktur og mappestruktur
  • Prosesser og arbeidsflyt
  • Avviksbehandling og kategorisering
  • Risikoanalyser og risikomaler
  • Sjekklister
  • Årshjul og planlagte aktiviteter

Når en lokal installasjon opprettes, kopieres dette oppsettet fra masterløsningen og brukes som utgangspunkt for virksomhetens eget kvalitetssystem.

Etter at den lokale installasjonen er etablert, står virksomheten fritt til å:

  • Endre strukturer
  • Justere prosesser
  • Legge til eller fjerne innhold
  • Tilpasse systemet til egen drift

Dersom det senere gjøres forbedringer eller endringer i masteroppsettet, kan disse overføres til lokale installasjoner ved behov, men dette gjøres som en styrt oppdatering, initiert av systemadministrator.

Dette gir virksomheten full kontroll over eget kvalitetssystem, samtidig som man kan velge å ta i bruk forbedringer som utvikles sentralt.

Styrende dokumenter: kontinuerlig synk og lokal utvidelse

For styrende dokumenter er løsningen mer dynamisk, nettopp fordi dette er innhold som ofte må holdes oppdatert på tvers av virksomheter.

Dokumenter som forvaltes i masterløsningen deles med lokale installasjoner gjennom en kontinuerlig synkronisering. Systemet sjekker med faste intervaller om det finnes nye eller reviderte dokumenter som skal gjøres tilgjengelig lokalt.

 

Eksempler på styrende dokumenter som ofte forvaltes sentralt:

  • Overordnede policyer for kvalitet, HMS og internkontroll
  • Felles prosedyrer for avvikshåndtering og forbedringsarbeid
  • Retningslinjer for risikovurdering og bruk av risikomatriser
  • Krav til dokumentasjon, sporbarhet og arkivering
  • Beredskapsprosedyrer og varslingsrutiner
  • Rutiner for opplæring og kompetansesikring
  • Revisjonsprogram og metodikk for interne revisjoner
  • Retningslinjer for leverandøroppfølging og innkjøp
  • Maler for arbeidsinstrukser og sjekklister

 

Når dokumentasjon oppdateres sentralt:

  • Blir lokale brukere varslet via e-post
  • Får de beskjed om hvilke dokumenter som er nye eller endret
  • Kan det vurderes om lokale tilpasninger må oppdateres

Samtidig står hver virksomhet fritt til å legge til egne lokale dokumenter som ikke er koblet til masterløsningen.

Slik fungerer lokale utvidelser i styrende dokumenter

For dokumenter som kommer fra master, brukes en enkel og tydelig modell for lokal tilpasning:

Selve hoveddokumentet er låst for redigering, men det finnes et eget felt for lokale presiseringer og tillegg. Når dette brukes, omtales dokumentet som et utvidet dokument.

På denne måten bevares:

  • Felles formuleringer og krav i hoveddokumentet
  • Samtidig som lokal praksis kan dokumenteres tydelig og korrekt
Certain QMS eksempel styrende dokument med lokal tilpasning

Eksempel på et styrende dokument der hovedinnholdet forvaltes sentralt, mens lokale presiseringer legges inn i eget felt som del av et utvidet dokument.

To formål – én løsning

Masterløsningen i Certain QMS støtter dermed to ulike behov:

  • som mal for systemoppsett og kvalitetsstruktur, der lokale installasjoner bygges på et felles utgangspunkt
  • og som felles kilde for styrende dokumenter, med løpende oppdatering og tydelig håndtering av lokale tilpasninger

Dette gir både fleksibilitet i systembruk og trygghet for at felles krav og prosedyrer faktisk kan holdes oppdatert på tvers av virksomheter.

Mirjam Meling

Mirjam Meling

Marketing & Communication Manager

Produserer innhold for Certain QMS om ledelsessystemer, kvalitetsstyring, informasjonssikkerhet og AI governance. Hun samarbeider med fagspesialister for å formidle komplekse temaer på en tydelig og praktisk måte.

Hallusinasjoner, bias og black boxes: AI-risikoene ledere må forstå 

Hallusinasjoner, bias og black boxes: AI-risikoene ledere må forstå 

AI risiko

Kunstig intelligens er på vei inn i stadig flere virksomhetsprosesser. Ansatte bruker AI til å skrive, analysere, oppsummere, søke etter informasjon og generere beslutningsgrunnlag. Mange virksomheter eksperimenterer også med AI-løsninger som integreres med interne systemer, dokumenter og arbeidsflyter. 

For mange ledere oppleves AI først og fremst som en ny type programvare. Men det er nettopp her mye av utfordringen ligger. AI fungerer fundamentalt annerledes enn de fleste systemene virksomheter er vant til å styre og kontrollere. 

Tradisjonell programvare følger regler. AI arbeider med sannsynligheter. Tradisjonelle systemer er bygget for å være forutsigbare. AI er bygget for å håndtere usikkerhet. Derfor oppstår det også risikoer som mange ledere ikke tidligere har måttet forholde seg til. 

Manglende determinisme og forutsigbarhet

De fleste IT-systemer er deterministiske. Det betyr at samme input normalt gir samme output. 

Hvis en kunde bestiller et produkt, registreres ordren. Hvis en faktura er forfalt, sendes en påminnelse. Hvis en bruker ikke har tilgang, får vedkommende ikke logget inn. Systemet gjør det det er programmert til å gjøre. 

Moderne AI fungerer annerledes. En språkmodell er ikke bygget rundt faste regler for alle mulige situasjoner. Den er trent på enorme mengder tekst og beregner hvilke svar som statistisk sett er mest sannsynlige basert på det den har lært. 

Resultatet er at AI kan løse oppgaver den aldri eksplisitt er programmert for. Samtidig blir oppførselen mindre forutsigbar. To personer kan stille omtrent samme spørsmål og få ulike svar. Små endringer i formuleringer eller kontekst kan påvirke resultatet betydelig. 

Dette er ikke nødvendigvis en feil ved teknologien. Det er en egenskap ved hvordan moderne AI fungerer. Men det gjør at AI må vurderes annerledes enn tradisjonelle systemer som er bygget rundt faste regler og forutsigbare prosesser. 

Hallusinasjoner og faktiske feil

En av de mest omtalte risikoene ved generativ AI er hallusinasjoner. 

Begrepet beskriver situasjoner hvor en AI-modell produserer informasjon som virker plausibel og overbevisende, men som faktisk er feil. Modellen kan finne på kilder, referanser, hendelser, sitater eller fakta uten å forstå at informasjonen er uriktig. 

For mange ledere er dette en uvant type feil. Når et regnskapssystem beregner feil moms, oppfattes det som en feil i systemet. Når en AI-modell presenterer feil informasjon, kan den derimot gjøre det på en måte som fremstår både logisk, strukturert og faglig troverdig. 

Problemet er derfor ikke bare at AI kan ta feil. Problemet er at feilene ofte er vanskelige å oppdage. 

Dette skyldes at språkmodeller ikke er bygget for å vurdere hva som er sant. De er bygget for å generere det mest sannsynlige svaret basert på mønstrene de har lært gjennom trening. I de fleste tilfeller gir dette imponerende resultater. Men når modellen mangler informasjon eller misforstår konteksten, kan den produsere svar som virker riktige uten å være det. 

Diskusjon om AI risiko

Datakvalitet, bias og skjevheter

AI-modeller er et produkt av dataene de lærer fra.  

Dersom datagrunnlaget er mangelfullt, utdatert eller inneholder systematiske skjevheter, vil dette ofte påvirke resultatene modellen produserer. Dette gjelder både generelle språkmodeller og virksomhetsspesifikke AI-løsninger som trenes eller tilpasses på interne data. 

Bias er et av de mest brukte begrepene innen AI-risiko. Det beskriver situasjoner hvor en modell systematisk favoriserer eller diskriminerer bestemte grupper, perspektiver eller utfall. 

I praksis er utfordringen ofte mer kompleks enn at AI er «biased». Modellen gjenspeiler i stor grad mønstrene den finner i dataene den har blitt eksponert for. Hvis historiske data inneholder skjevheter, kan AI videreføre eller forsterke disse. 

Derfor handler datakvalitet ikke bare om riktige data. Det handler også om representativitet, relevans og kontekst. To modeller med samme teknologi kan gi svært ulike resultater avhengig av hvilke data de bygger på.

Manglende forklarbarhet og transparens

I mange virksomheter er det viktig å kunne forklare hvorfor en beslutning ble tatt. Dette gjelder særlig innen kvalitet, revisjon, compliance, informasjonssikkerhet og andre områder hvor sporbarhet står sentralt. AI utfordrer dette prinsippet. 

Mange moderne modeller fungerer som det som ofte omtales som en «black box». Man kan observere hvilke data som går inn, og man kan se resultatet som kommer ut. Men det er ikke alltid mulig å forklare nøyaktig hvordan modellen kom frem til konklusjonen. 

Dette betyr ikke at AI nødvendigvis er ukontrollerbar. Men det betyr at forklarbarheten ofte er svakere enn i tradisjonelle regelbaserte systemer. 

Jo mer avansert modellen blir, desto vanskeligere kan det bli å forstå hvilke faktorer som påvirket resultatet. For virksomheter som er avhengige av dokumentasjon, revisjonsspor og etterprøvbarhet, representerer dette en ny type utfordring som mange ikke tidligere har vært eksponert for.

AI risikostyring rådgiver

Automatiseringsbias og overavhengighet

Den kanskje mest undervurderte AI-risikoen handler ikke om algoritmer eller teknologi. Den handler om mennesker. 

Automatiseringsbias er et etablert begrep innen forskning på beslutningsstøtte og beskriver menneskers tendens til å stole for mye på anbefalinger fra teknologiske systemer. 

Dette fenomenet er ikke nytt. Det har vært observert i alt fra luftfart til medisinsk diagnostikk. Men generativ AI gjør problemstillingen mer aktuell enn noen gang. 

Når en AI-modell leverer raske, velformulerte og tilsynelatende intelligente svar, er det naturlig å tillegge anbefalingene høy verdi. Over tid kan mennesker bli mindre kritiske og bruke mindre tid på egne vurderinger. 

Risikoen er derfor ikke nødvendigvis at AI tar beslutninger på egen hånd. Risikoen er at mennesker gradvis begynner å stole på teknologien uten å gjennomføre den faglige kvalitetssikringen som situasjonen krever. 

Jo bedre AI blir til å kommunisere, desto viktigere blir det å huske at overbevisende svar ikke nødvendigvis er korrekte svar. 

En teknologi med nye styrker – og nye svakheter

Kunstig intelligens representerer et betydelig teknologisk sprang, men den introduserer også et risikobilde som skiller seg fra tradisjonell programvare. 

Hallusinasjoner, bias, manglende forklarbarhet og automatiseringsbias er ikke nødvendigvis tegn på at teknologien fungerer dårlig. Tvert imot er de ofte en konsekvens av hvordan moderne AI er bygget og hvorfor den er så kraftig. 

For ledere handler det derfor ikke om å bli eksperter på maskinlæring eller nevrale nettverk. Det handler om å forstå at AI har andre egenskaper enn systemene virksomheten tradisjonelt har jobbet med. 

Jo bedre man forstår disse egenskapene, desto bedre rustet er man til å vurdere både mulighetene og begrensningene teknologien bringer med seg. 

Snakk med oss om styringssystemer for AI

Vi hjelper virksomheter med rådgivning, etablering og videreutvikling av styringssystemer for AI. Ta kontakt for å høre hvordan vi kan hjelpe deg!

Mirjam Meling

Mirjam Meling

Marketing & Communication Manager

Produserer innhold for Certain QMS om ledelsessystemer, kvalitetsstyring, informasjonssikkerhet og AI governance. Hun samarbeider med fagspesialister for å formidle komplekse temaer på en tydelig og praktisk måte.