Wat besturen moeten eisen van AI: beoordeling, audit en zekerheid

Door Erika Fille T. Legara

IN EEN EERDER BusinessWorld-artikel betoogde ik dat AI-governance verder gaat dan het toezicht houden op een handvol technologieprojecten en nu ook omvat dat AI-ondersteunde beslissingen binnen de organisatie afgestemd blijven op strategie, risicobereidheid en ethische normen. Een logische vervolgvraag voor besturen is: hoe verifieert een organisatie, naast het stellen van verwachtingen, dat haar AI-systemen daadwerkelijk presteren zoals bedoeld, verantwoord en binnen gedefinieerde grenzen?

Het antwoord ligt in drie gerelateerde maar verschillende disciplines: AI-risicobeoordeling, AI-audit en AI-assurance. Besturen die bekend zijn met financieel toezicht zullen de logica intuïtief vinden. De uitdaging, en de kans, is diezelfde discipline toe te passen op AI.

3 VERSCHILLENDE MAAR GERELATEERDE CONCEPTEN
Het helpt om nauwkeurig te zijn over wat elke term betekent, omdat ze vaak door elkaar worden gebruikt terwijl dat niet zou moeten.

AI-risicobeoordeling is het interne proces waarmee een organisatie de risico's die verband houden met haar AI-systemen identificeert, evalueert en prioriteert. Het vraagt wat er mis kan gaan, hoe waarschijnlijk het is en wat de impact zou zijn. Dit is de basis waarop al het andere rust. Zonder een geloofwaardige risicobeoordeling hebben noch audit noch assurance een zinvolle baseline om mee te werken. Materiële AI-systemen bestaan in elke sector: een kredietscoringmodel bij een bank, een patiënttriage-instrument in een ziekenhuis, een studentenprestatie-voorspeller op een universiteit, een zaakprioriteitssysteem bij een overheidsinstantie. Wat ze gemeen hebben is de consequentie, waaronder outputs die echte mensen op betekenisvolle manieren beïnvloeden.

Voor elk dergelijk systeem moet de risicobeoordeling systematisch en gedocumenteerd zijn, en regelmatig worden herzien naarmate het model evolueert en de operationele omgeving verandert.

AI-audit is het onafhankelijke onderzoek naar of een AI-systeem, of het governance-raamwerk eromheen, voldoet aan gedefinieerde normen, beleidslijnen of vereisten. Het is een op bewijs gebaseerd proces uitgevoerd door een partij die voldoende onafhankelijk is van degenen die verantwoordelijk zijn voor het systeem dat wordt beoordeeld. Een AI-audit kan beoordelen of de AI-managementpraktijken van een organisatie voldoen aan een internationaal erkende norm, zoals ISO/IEC 42001, 's werelds eerste AI-managementsysteemnorm gepubliceerd in 2023, of dat een specifiek model binnen goedgekeurde parameters presteert en zonder onbedoelde bias. Belangrijk is dat de norm die de auditors zelf reguleert, ISO/IEC 42006, gepubliceerd in juli 2025, nu de competentie en nauwgezetheid uiteenzet die vereist is van instanties die AI-managementsystemen auditen en certificeren. De auditprofessie begint met andere woorden haar eigen verantwoordelijkheid voor AI-opdrachten te formaliseren.

AI-assurance is de formele, naar belanghebbenden gerichte conclusie die voortkomt uit dat auditproces. Het is het professionele oordeel, uitgegeven door een gekwalificeerde en onafhankelijke partij, dat besturen, toezichthouders, investeerders en het publiek vertrouwen geeft dat een AI-systeem of AI-managementraamwerk voldoet aan een gedefinieerde norm. Assurance is wat een interne beoordeling transformeert in een geloofwaardig extern signaal.

AI-ASSURANCE FUNDEREN
Het concept van onafhankelijke assurance is niet nieuw voor besturen. Elk jaar onderzoeken externe auditors de financiële overzichten van een organisatie en geven een oordeel; een conclusie gebaseerd op bewijs, uitgevoerd volgens internationaal erkende normen en ondersteund door de professionele onafhankelijkheid van de auditor. Dat oordeel heeft gewicht precies omdat het raamwerk dat het reguleert rigoureus en goed gevestigd is. Deze logica geldt ongeacht de sector; of de organisatie nu een bank is, een ziekenhuis, een conglomeraat of een openbare instelling, de financiële audit is een vertrouwd en betrouwbaar mechanisme.

Dezelfde logica geldt nu voor AI. Wanneer een organisatie een publieke of regelgevende claim maakt over haar AI-systemen, dat ze eerlijk, transparant, conform een gedefinieerde norm zijn of vrij van materiële bias, is de vraag: wie valideert die claim onafhankelijk, en onder welk professioneel raamwerk?

Het antwoord, voor de accountancy- en auditprofessie, is ISAE 3000, de International Standard on Assurance Engagements uitgegeven door de International Auditing and Assurance Standards Board (IAASB). ISAE 3000 reguleert assurance-opdrachten over andere zaken dan historische financiële informatie, waardoor het de natuurlijke plek is voor AI-assurance. Onder deze norm kan een professional ofwel een reasonable assurance-opdracht uitvoeren, de hogere norm analoog aan een financiële audit, of een limited assurance-opdracht, die qua diepte dichter bij een review ligt. De keuze van niveau doet ertoe en moet weloverwogen zijn, gekalibreerd op de materialiteit en het risico van het betreffende AI-systeem.

Een nauwe hedendaagse parallel is duurzaamheids- of ESG-assurance. Veel op de Filippijnen genoteerde bedrijven laten al onafhankelijke assurance uitvoeren op hun duurzaamheidsverslaggeving, vaak onder ISAE 3000. De mechanica is precies hetzelfde: een onafhankelijke praktijkbeoefenaar onderzoekt een reeks claims tegen gedefinieerde criteria en geeft een formele conclusie. De onderwerpen verschillen; de professionele discipline niet.

WAT DIT BETEKENT VOOR BESTUREN
Drie praktische implicaties volgen uit dit raamwerk.

Ten eerste moeten besturen vragen of hun organisaties rigoureuze AI-risicobeoordelingen hebben uitgevoerd op materiële systemen. Niet als eenmalige oefening, maar als een doorlopend proces dat wordt bijgewerkt naarmate modellen worden gehertraind, use cases uitbreiden en de regelgevende omgeving evolueert. De kwaliteit van downstream audit- en assurance-werk is slechts zo goed als de risicobeoordeling die eraan voorafgaat.

Ten tweede moeten besturen onderscheid maken tussen interne en externe AI-audit. Interne auditfuncties spelen een cruciale rol bij het verstrekken van assurance dat AI-controles functioneren zoals ontworpen. Besturen moeten echter ook overwegen of een onafhankelijke audit door een derde partij van materiële AI-systemen gerechtvaardigd is, met name voor systemen die klanten, werknemers of het publiek op consequente manieren beïnvloeden. Net als bij financiële auditing versterkt onafhankelijkheid de geloofwaardigheid.

Ten derde, naarmate organisaties steeds meer publieke toezeggingen doen over hun AI-praktijken aan toezichthouders, investeerders en de gemeenschappen die ze dienen, moeten besturen vragen of die toezeggingen worden ondersteund door geloofwaardige assurance. Beweringen zonder onafhankelijke validatie zijn, op zijn best, een reputatierisico dat wacht om zich te manifesteren.

EEN PROFESSIE DIE NOG HAAR CAPACITEITEN OPBOUWT
Het zou onvolledig zijn om dit landschap te presenteren zonder de huidige beperkingen te erkennen. De infrastructuur voor AI-assurance wordt nog steeds opgebouwd. Professionele normen komen op. Auditorcompetenties in AI, die machine learning, algoritmische bias, datagovernance en modeltransparantie omvatten, zijn nog niet uniform ontwikkeld binnen de professie. ISAE 3000 biedt het assurance-raamwerk, maar de AI-specifieke methodologieën die erin zitten, zijn nog in ontwikkeling.

Voor organisaties die nog niet klaar zijn om formele assurance na te streven, is dit geen reden om stil te staan. Een gestructureerde, regelmatige beoordeling van materiële AI-systemen is een zinvolle en praktische eerste stap. Het bouwt de interne discipline, documentatie en governance-gewoonten op die assurance-gereedheid uiteindelijk vereist. Besturen die vandaag dergelijke beoordelingen opdragen, zelfs informeel, ontwikkelen institutionele spierkracht die ertoe doet wanneer regelgevende verwachtingen verharden en toezicht door belanghebbenden intensiveert.

Deze visie is er een die ik dieper heb verkend in onderzoek dat ik heb ontwikkeld met collega's die generatieve AI-governance onderzoeken in economieën waar regelgeving de technologie nog moet inhalen. Het centrale argument is dat bedrijven al morele agenten zijn met bestaande ethische verplichtingen jegens hun belanghebbenden; wachten op maatwerk AI-wetgeving is noch noodzakelijk noch voldoende voor verantwoorde governance. De verplichting om te handelen is er al. Wat nodig is, is de organisatorische wil om het te operationaliseren.

Dit is geen reden voor besturen om te wachten op de bredere agenda. Het is een reden om nu geïnformeerde vragen te stellen, aan hun externe auditors, hun interne auditfuncties en hun managementteams, zodat wanneer de capaciteiten van de professie de vraag inhalen, hun organisaties klaar zijn om zinvol te participeren.

De financiële audit is niet volledig gevormd ontstaan. Het kostte decennia van normstelling, professionele ontwikkeling en harde lessen uit bedrijfsfaillissementen voordat de onafhankelijke audit de geloofwaardige instelling werd die het vandaag is. AI-assurance bevindt zich op een vergelijkbaar vroeg kantelpunt. Besturen die zich er nu mee bezighouden, scherpere vragen stellen aan hun auditors, meer eisen dan managementbeweringen en interne capaciteiten opbouwen voordat toezichthouders dit vereisen, zullen niet alleen hun eigen blootstelling verminderen. Ze zullen helpen vorm te geven aan hoe verantwoorde AI-verantwoording eruitziet voor Filippijnse organisaties en de bredere regio.

Erika Fille T. Legara is natuurkundige, docent en data science- en AI-professional die werkzaam is bij de overheid, in de academische wereld en het bedrijfsleven. Ze is de inaugurele managing director en chief AI and data officer van het Education Center for AI Research, en universitair hoofddocent en Aboitiz-leerstoel in Data Science aan het Asian Institute of Management, waar ze van 2017 tot 2024 het eerste MSc in Data Science-programma van het land oprichtte en leidde. Ze heeft zitting in bedrijfsbesturen, is fellow van het Institute of Corporate Directors, een IAPP Certified AI Governance Professional en medeoprichter van CorteX Innovations.