Insights — Governance Framework

AI governance framework: van beleid naar aantoonbare controle

Q: Hoe lang duurt het om structurele AI-governance in te richten?

Voor een instelling met een beperkt aantal systemen: weken. Voor een instelling met tientallen systemen en weinig documentatie: maanden.

Q: Hoe verhoudt AI-governance zich tot bestaande frameworks zoals COSO of Three Lines?

AI-governance is geen vervanging maar een toepassing van bestaande frameworks op een specifieke risicocategorie.

AI governance framework voor de financiële sector

Voor CROs, Heads of Risk en Compliance Leaders.

Het probleem met beleid

Vrijwel elke financiële instelling heeft inmiddels een AI-beleid. Veel instellingen hebben ook een AI-register. Sommige hebben een AI-ethiekcommissie of een AI-stuurgroep.

En toch: bij toezichtonderzoek blijkt governance in de praktijk vaak onvoldoende.

Niet omdat de intenties ontbreken. Maar omdat beleid geen governance is.

Beleid beschrijft hoe het zou moeten zijn. Governance is de structuur die borgt dat het ook zo is — aantoonbaar, continu, reproduceerbaar.

Waarom beleid niet voldoende is

Stel: uw instelling heeft een AI-beleid dat vereist dat elk AI-systeem een risicoanalyse heeft ondergaan. Vragen die dit beleid niet beantwoordt:

Is deze analyse voor elk actief systeem daadwerkelijk uitgevoerd?
Is de analyse bijgewerkt na de laatste systeemwijziging?
Wie is verantwoordelijk als dat niet is gebeurd?
Hoe weet u op dit moment welke systemen compliant zijn en welke niet?
Als uw nationale toezichthouder morgen vraagt om bewijs: is dat bewijs reproduceerbaar of moet het worden gereconstrueerd?

Beleid creëert verwachtingen. Governance borgt dat verwachtingen worden omgezet in aantoonbare werkelijkheid.

De vier elementen van structurele AI-governance

Element 1

Register als poortwachter

Een AI-register is een lijst. Een register als poortwachter is een mechanisme: geen AI-systeem wordt geactiveerd of ingezet zonder formele incorporatie in de governance-structuur.

Doel en beoogd gebruik
Formeel eigenaarschap
Toepasselijke regelgeving (AI Act, DORA, Wwft)
Afhankelijkheden van externe leveranciers
Classificatiestatus

Een onvolledig register is niet een administratief probleem. Het is een governance-gap die toezichtblootstelling creëert.

Element 2

Classificatie als controleconditie

Classificatie bepaalt welke controles van toepassing zijn. Dat maakt classificatie niet een administratieve stap, maar een beslissende schakel in de governance-structuur.

Een governance-structuur borgt dat systeemwijzigingen leiden tot herclassificatie, niet dat herclassificatie soms plaatsvindt als iemand eraan denkt.

Element 3

Controle als ingebedde structuur

De zwakste schakel in de meeste governance-structuren is de vertaling van classificatie naar actieve controle. Wie is concreet verantwoordelijk? Onder welke voorwaarden moet worden ingegrepen? Wat zijn de criteria voor incidentmelding?

Structurele controle betekent: per systeem vastgelegde activeringsvoorwaarden, toezichtstructuur en incidentcriteria — onderdeel van de governance-structuur.

Element 4

Bewijs als bijproduct

Reproduceerbaar bewijs is bewijs dat wordt gegenereerd als bijproduct van actieve governance. Wanneer de governance-structuur correct is ingericht, is het bewijs er al — niet omdat iemand het heeft samengesteld, maar omdat het systeem het continu genereert.

Dit is het onderscheid dat toezichthouders benoemen als het verschil tussen instellingen die "governance hebben" en instellingen waarbij governance standhoudt bij intensief toezicht.

Hoe governance-volwassenheid eruitziet in de praktijk

Niveau 1

Beleid zonder structuur

Er is een AI-policy. Er is misschien een register. Reviews vinden plaats als er tijd voor is. Bewijs wordt verzameld als het wordt gevraagd. Eigenaarschap is onduidelijk of versnipperd.

Niveau 2

Structuur zonder enforcement

Er is een governance-framework op papier. Classificaties zijn gedaan. Maar de structuur wordt niet actief gehandhaafd: systeemwijzigingen leiden niet automatisch tot herclassificatie, controles worden niet systematisch getoetst, bewijs is niet reproduceerbaar.

Niveau 3

Structurele governance

De governance-structuur is embedded: register werkt als poortwachter, classificatie conditioneert controles, controles zijn ingebed en aantoonbaar actief, bewijs is een automatisch gegenereerd bijproduct.

De meeste instellingen zitten op niveau 1 of vroeg niveau 2. Toezichthouders verwachten niveau 3.

Wat het opbouwen van structurele governance inhoudt

De overgang van beleid naar structurele governance is geen project met een einddatum. Het is de inrichting van een permanente structuur.

Stap 1

Volledige inventarisatie

Alle actieve AI-systemen, inclusief systemen die intern niet als "AI" worden aangeduid maar wel onder de definitie vallen.

Stap 2

Classificatie per systeem

Op basis van AI Act Bijlage III en de specifieke kenmerken van elk systeem. Met vastgelegd eigenaarschap en procedure voor herclassificatie.

Stap 3

Controles inrichten per hoog-risico systeem

Concreet, specifiek, met benoemde verantwoordelijken. Per systeem vastgelegde activeringsvoorwaarden, toezichtstructuur en incidentcriteria.

Stap 4

Logging en bewijs-generatie borgen

Automatische logging actief, retentieperiodes vastgesteld, reproduceerbaar bewijs gegenereerd vanuit de governance-staat.

Stap 5

Review-cyclus vastleggen

Systemen veranderen, regelgeving ontwikkelt zich, toezichtsverwachtingen scherpen aan. Een review-cyclus borgt dat de governance-structuur blijft aansluiten op de werkelijkheid.

De tijdsdruk die velen onderschatten

Er zijn twee soorten governance-risico. Het eerste is het risico dat toezichthouders constateren dat uw governance onvoldoende is. Het tweede is het risico dat uw governance niet meer klopt omdat uw AI-omgeving is veranderd terwijl uw governance dat niet heeft bijgehouden.

Het tweede risico is groter dan het eerste — en minder zichtbaar.

AI-systemen evolueren snel. Externe modellen worden bijgewerkt door leveranciers. Interne modellen worden geoptimaliseerd. Nieuwe systemen worden geïntroduceerd. Elke verandering die niet door de governance-structuur wordt verwerkt, vergroot de kloof tussen de governance op papier en de werkelijkheid.

Structurele governance sluit die kloof automatisch. Beleid laat die kloof groeien.

Veelgestelde vragen

Hoe lang duurt het om structurele AI-governance in te richten? +

Dat hangt af van de complexiteit van de AI-omgeving en de huidige staat van governance. Voor een instelling met een beperkt aantal systemen en een bestaand governance-framework: weken. Voor een instelling met tientallen systemen, versnipperd eigenaarschap en weinig documentatie: maanden. De eerste stap — volledige inventarisatie — geeft direct inzicht in de werkelijke omvang.

Is een externe consultant nodig voor AI-governance? +

Niet per se. De vereisten zijn duidelijk genoeg om intern op te pakken. Wat instellingen vaak missen is niet kennis van de regelgeving, maar een structuur die de governance actief handhaaft. Dat is een architectuurvraagstuk, geen adviesvraagstuk.

Hoe verhoudt AI-governance zich tot bestaande frameworks zoals COSO of Three Lines? +

AI-governance is geen vervanging van bestaande frameworks. Het is een toepassing ervan op een specifieke risicocategorie. De Three Lines structuur is direct toepasbaar: eerste lijn beheert de AI-systemen en de controles, tweede lijn borgt de governance-structuur, derde lijn toetst de effectiviteit.

Wat als de raad van bestuur niet betrokken is bij AI-governance? +

Dat is een risicofactor. Toezichthouders verwachten betrokkenheid op bestuursniveau bij de beheersing van AI-risico's. Een governance-structuur zonder bestuurlijke verankering mist de enforcement die nodig is om op niveau 3 te opereren.

Van beleid naar structuur: de keuze die u nu maakt

Een Executive Regulatory Architecture Session biedt een gestructureerde analyse van de huidige staat van uw AI-governance en de structurele maatregelen die uw toezichtblootstelling reduceren.

Executive Session aanvragen Download Whitepaper