FSB vil ha styreansvar for AI i finanssektoren

FSB gjør AI til styresak i finans

Financial Stability Board vil flytte AI fra innovasjonsprosjekter til ordinær styring, risikokontroll og styreansvar i finanssektoren. Det er kjernen i en ny konsultasjonsrapport publisert 10. juni.

Rapporten foreslår 12 såkalte «sound practices» for hvordan banker, forsikringsselskaper, kapitalforvaltere, betalingsaktører og andre finansinstitusjoner bør ta i bruk AI på en ansvarlig måte. FSB sier eksplisitt at praksisene skal dekke både tradisjonell maskinlæring og nyere, mer komplekse former for AI, inkludert generativ og agentisk AI.

Dette er ikke en ny internasjonal standard. FSB presiserer at rapporten ikke skal pålegge én fast modell for AI-adopsjon. Likevel er signalet tungt. FSB samler sentralbanker, finanstilsyn og finansdepartementer fra de viktigste økonomiene. Når styret pekes ut som mottaker for AI-styring, er det et varsel om hvor tilsyn og forventninger vil bevege seg.

For norske finansledere betyr det at AI ikke lenger kan behandles som et rent produktivitetsverktøy. Modeller som skriver kode, vurderer kreditt, prioriterer kundedialog, leter etter svindel eller styrer intern analyse, må inn i samme styringsapparat som andre kjerneprosesser. Det gjelder særlig når leverandører, skyplattformer og AI-agenter får større handlingsrom.

Tolv praksiser, én retning

FSB peker på fire brede krav. For det første må styre og toppledelse sette retning. AI skal vurderes opp mot forretningsmodell, risikovilje og strategi. Det inkluderer også beslutningen om ikke å bruke AI i enkelte prosesser, hvis risikoen eller datagrunnlaget ikke holder.

For det andre må ansvar plasseres. FSB anbefaler tydelige roller på tvers av første-, andre- og tredjelinje. Forretningssiden kan ikke alene eie risikoen i en AI-løsning som påvirker kunder, compliance eller kapital. Risikofunksjoner, juridisk, sikkerhet, teknologi og internrevisjon må ha reell innsikt og mandat til å utfordre.

For det tredje må AI inn i risikostyringen. FSB ber finansinstitusjoner ha prosesser for å identifisere, dokumentere, klassifisere og vurdere AI-bruk etter materialitet og risiko. Dette er viktig fordi mange AI-løsninger begynner smått. En intern assistent kan bli en del av saksbehandling. Et analyseverktøy kan bli beslutningsstøtte for ledelsen. En agent kan få tilgang til systemer som tidligere krevde manuell kontroll.

For det fjerde må virksomheten bygge evne til å lære. FSB skriver at styring, kompetanse, kontrollmiljø og risikopraksis må endres etter hvert som teknologien endres. Det er en nøktern erkjennelse. Et AI-regime som virker i 2026, kan være utdatert når agentene får bredere tilgang til applikasjoner, data og transaksjoner.

Livsløpet blir like viktig som modellen

Den mest praktiske delen av rapporten handler om livsløpsstyring. FSB ber finansinstitusjoner vurdere materialitet og risiko ved oppstart og underveis. Modeller og systemer skal velges ut fra forretningsbehov, tekniske krav og risiko. Dataene må være egnet til formålet: korrekte, komplette, konsistente, pålitelige og sikre.

Dette treffer et svakt punkt i mange AI-programmer. Det er fristende å starte med modellvalg og brukergrensesnitt. FSB starter et annet sted: med datakvalitet, dokumentasjon, forklarbarhet, ytelsestesting, løpende overvåking og menneskelig kontroll. Det er kjedeligere. Det er også der feilene ofte avgjøres.

Rapporten bruker et språk finanssektoren kjenner fra modellrisiko og outsourcing. AI-bruk skal ha passende dokumentasjon. Ytelse skal testes og overvåkes. Forklarbarhet og transparens må tilpasses risiko og mottaker. Menneskelig kontroll må ha faktisk effekt, ikke være en knapp som ingen rekker å bruke.

For CIO-er og CISO-er er cyberdelen særlig viktig. FSB ber institusjoner håndtere AI-relatert cyber- og IKT-risiko, inkludert øvelser, scenarioer og informasjonsdeling. Det dekker både AI som angrepsflate og AI som forsvarsverktøy. Når agenter får tilgang til e-post, kodesystemer, dokumentarkiv, CRM og betalingsflyt, blir skillelinjen mellom modellrisiko og sikkerhetsrisiko mindre tydelig.

Leverandørrisiko blir en hovedsak

Den tolvte praksisen handler om tredjepartsrisiko. Den kan bli den mest krevende i praksis. FSB ber finansinstitusjoner styre risiko fra AI-leverandører med særlig vekt på ytelse, transparens, datakvalitet, verdikjede, konsentrasjonsrisiko og kontinuitet.

Det er presist. Mange finansaktører vil ikke bygge grunnmodellene selv. De vil bruke store skyplattformer, modell-APIer, kodeagenter, analyseverktøy og spesialiserte fintech-leverandører. Da flyttes kritiske avhengigheter ut av egen organisasjon. Samtidig kan samme leverandører bli felles flaskehalser på tvers av sektoren.

FSB peker på klassiske kontrollpunkter: due diligence, kontraktskrav, innsyns- og revisjonsrettigheter, databehandling, sikkerhet, beredskap, exit og løpende oppfølging. Forskjellen er at AI gjør disse punktene mer dynamiske. En modell kan endre atferd. En tjeneste kan bytte underliggende modell. En agentfunksjon kan få nye rettigheter. En leverandør kan samle stadig mer kontekst om virksomheten.

For norske styrer bør dette oversettes til noen konkrete spørsmål: Hvilke AI-løsninger påvirker kunder, kapital, compliance eller kritisk drift? Hvem eier risikoen? Hvilke leverandører er mest kritiske? Kan virksomheten forklare og teste beslutningene? Hva skjer hvis modellen, API-et eller leverandøren feiler? Og hvor raskt oppdages feil svar som ser riktige ut?

Ikke vent på endelig regelverk

FSB ber om innspill innen 22. juli 2026. Rapporten er derfor et høringsdokument, ikke en ferdig regelbok. Men den gir et klart kart over forventningene som bygges rundt AI i finans.

Det viktigste for ledere er å ikke lese dette som compliance på et senere tidspunkt. Praksisene peker på tiltak som må bygges før AI blir dypt integrert: register over AI-bruk, risikoklassifisering, datastyring, leverandørkontroll, evalueringsregime, hendelseshåndtering, tilgangsstyring og rapportering til styret.

Finanssektoren har en fordel. Den er vant til regulert teknologi, modellrisiko og outsourcingkrav. Men tempoet i AI-adopsjonen gjør at gamle prosesser må kortes ned og kobles tettere til produkt- og teknologimiljøene. En årlig modellgjennomgang holder dårlig hvis en agent endrer arbeidsflyt hver måned.

FSB-rapporten gjør derfor én ting tydelig: AI i finans blir ikke bare et spørsmål om hvilke modeller som er best. Det blir et spørsmål om hvem som har kontroll når modellene blir del av beslutninger, drift og kundemøter.

Kilder og medier

Primærkilde: Financial Stability Board, «Sound Practices for Responsible Adoption of Artificial Intelligence (AI): Consultation Report», publisert 10. juni 2026. Source_url: https://www.fsb.org/2026/06/sound-practices-for-responsible-adoption-of-artificial-intelligence-ai-consultation-report/

Rapportens PDF: https://www.fsb.org/uploads/P100626.pdf

Thumbnail: OpenAI Image 2 / hogby.ai