AI-strategi

Varför stora organisationer kämpar med AI

3 min läsning
Av Filip Wannehag

Jag har de senaste månaderna pratat med en del kollegor i andra delar av koncernen och med kontakter i andra stora organisationer om hur de jobbar med AI. Mönstret som framträder är slående likt överallt.

Det finns intresse på alla nivåer. Medarbetare vill använda verktygen. Chefer vill visa att man är innovativ. Ledningen pratar om AI-strategi. Men sen händer väldigt lite. Och anledningen är nästan alltid densamma: IT-governance.

Jag förstår varför governance finns och jag tycker det är bra att stora organisationer har processer för att säkerställa säkerhet, compliance och kvalitet. Men jag ser också hur samma processer blir ett hinder för innovation på ett sätt som jag tror är farligt på sikt.

Några mönster jag ser:

Godkännandeprocesser som inte är designade för AI. I många organisationer behöver nya verktyg igenom en process som tar månader. Riskbedömning, IT-säkerhetsanalys, dataskyddskonsekvensbedömning, upphandling. Det är rimligt för ett nytt affärssystem som ska rullas ut till tusen användare. Men samma process tillämpas ofta på att ge fem personer tillgång till ChatGPT Team. Och under de månaderna som processen tar har verktygen hunnit förändras så pass att bedömningen inte längre är aktuell.

Ansvarsfrågan är oklar. Vem äger AI-frågan? IT? Verksamheten? Compliance? I de flesta organisationer jag pratat med faller det mellan stolarna. IT ser det som ett verksamhetsprojekt. Verksamheten ser det som en IT-fråga. Compliance vill bromsa tills man förstår riskerna. Resultatet är att ingen driver framåt.

Shadow IT accelererar. Medan organisationen diskuterar processer och policies använder medarbetare ChatGPT på sina privata telefoner med jobbdata. Det är exakt det scenario som governance är tänkt att förhindra men som governance paradoxalt nog orsakar genom att vara för långsam. Ju svårare det är att använda godkända verktyg desto mer använder folk icke-godkända alternativ.

Jag har pratat med en IT-chef på ett annat stort fastighetsbolag som beskrev det som “vi har byggt en fästning som skyddar oss från allt, inklusive framsteg”. Det är en överdrift men inte en stor en.

Vad kan man göra? Jag har inga färdiga svar men jag har några tankar om vad som kanske skulle kunna fungera.

Man skulle kunna tänka sig snabbspår för lågriskanvändning. Alla AI-verktyg är inte lika känsliga. Att använda ChatGPT för att skriva om en intern kommunikationstext är inte samma risk som att mata in personuppgifter i en okänd tjänst. En differentierad process där enklare användningsfall kan godkännas snabbare vore kanske möjligt.

Sandboxar eller experimentzoner där avdelningar kan testa nya verktyg under kontrollerade former utan att behöva igenom hela godkännandeapparaten är en annan idé jag hört. Typ “du får använda det här i tre månader med den här typen av data, sen utvärderar vi”. Det ger organisationen data att basera beslut på istället för att allt grundas på teoretiska riskbedömningar.

Kanske behöver man också acceptera att AI inte passar i samma governance-mall som traditionell IT. Det är ett annat djur. Det förändras snabbare, gränserna mellan privat och professionell användning är suddigare, och risken med att inte använda det börjar bli minst lika stor som risken med att använda det.

Jag har inte svaren men jag tror att de organisationer som hittar en balans mellan governance och hastighet kommer ha en enorm fördel om två till tre år. De som inte gör det riskerar att stå med perfekta policies och noll adoption.