Siirry pääsivulle
Näkemys:
Näkemys
16 maalisk. 2026

Hallituksen on oltava tietoinen tekoälyn riskeistä

Yritysten työntekijät vaikuttavat omaksuvan tekoälytyökalut, mutta mitä mahdollisuuksia ja riskejä tekoälyn käyttö tuo yritykselle – ja mitkä ovat hallituksen vastuut? Entä miten yrityksen johto voi varmistaa tekoälyn hallitun käyttöönoton?

Boards Must Be Given AI Control

Read the article in English.

Boards Must Be Given AI Control

Vertaus “iPhonehetkeen” on erittäin osuva, kun arvioidaan tekoälyn mullistavaa vaikutusta yritysten liiketoimintaan. Kun tekoälyä on päässyt kokeilemaan ja käyttämään, käy pian selväksi, ettei vanhoihin manuaalisiin työtapoihin ole paluuta. Tekoäly edustaa perustavaa muutosta, joka edellyttää sekä yritysjohdolta että hallitukselta strategista ja vastuullista otetta.

Tekoäly osaa tuottaa sisältöä ja ratkaista monimutkaisia tehtäviä, mutta sen käyttöä on myös hallittava. Riittävä henkilöstön ja johdon koulutus ja tekoälylukutaito ovat välttämättömiä teknologiaan liittyvien riskien hallitsemiseksi. On tärkeää, että ihminen viimekädessä arvioi kaiken tekoälyn tuottaman tiedon ennen sen hyödyntämistä muualla, sillä tekoälyjärjestelmät voivat tuottaa virheellistä, harhaanjohtavaa tai jopa keksittyä dataa. Lisäksi tietosuoja ja perusoikeudet on varmistettava, kun prosesseja ja päätöksentekoa annetaan tekoälylle. Tekoälyn hyödyntäminen edellyttää tehokasta ihmistoimijoiden valvontaa ja selkeitä pelisääntöjä.  

Riskit ja mahdollisuudet

Deloitten maaliskuussa 2025 toteuttama “Now Decides Next: Generating a New Future” -kysely korostaa, miten yritykset hyödyntävät tekoälyä liiketoiminta-arvon luomisessa. Kyselyyn osallistui 2 000 ylimmän johdon edustajaa ympäri maailmaa (joista 170 Pohjoismaista). Eräs keskeinen havainto oli ylimmän johdon ja hallitusten vähentyvä kiinnostus tekoälyä kohtaan samalla, kun työntekijöiden kiinnostuksen tekoälyyn havaittiin lisääntyneen. Jos suunta jatkuu ilman, että hallitus ymmärtää roolinsa ja lisää sitoutumistaan, seurauksena voi olla, että työntekijät ottavat käyttöön tekoälytyökaluja tavoilla, jotka kasvattavat yrityksen riskitasoa sen hyväksytyn riskinottohalun yli. Johdon ja henkilöstön välinen kuilu luo haasteita yritysten riskienhallinnalle, sillä strategiset päätökset ja vastuu tekoälyn hallinnasta kuuluvat johdolle, mutta samalla varjotekoäly — eli työntekijöiden tekoälytyökalujen käyttö ohi yrityksen virallisen ohjeistuksen — hämärtää näkyvyyttä tekoälyn käyttöön.

Tekoäly luokin merkittäviä mahdollisuuksia sekä työntekijöille että yrityksille, mutta samalla syntyy uusia riskejä. Vuonna 2026 tekoälyn varmentaminen (AI assurance) on nousemassa yhdeksi tärkeimmistä osa-alueista, joita hallituksen on hallittava riskien pienentämiseksi hyväksyttävälle tasolle.  

Hallituksen tärkeä tehtävä

Hallituksella on lainmukainen vastuu yhtiön hallinnosta. Teknologiasääntelyn — kuten EU:n tekoälyasetuksen, tietosuojalainsäädännön, ja tietoturvalainsäädännön — myötä hallituksen on varmistettava, että yhtiö toimii tekoälyn käyttöä koskevan sääntelyn mukaisesti. Teknologiasääntelyn lisäksi esimerkiksi immateriaalioikeudet, yhdenvertaisuuslainsäädäntö ja kuluttajansuojalainsäädäntö asettavat vaatimuksia tekoälyn käytölle.

Näiden velvoitteiden täyttämiseksi yrityksillä on oltava selkeät ja johdonmukaisesti noudatetut prosessit ja käytännöt tekoälyn käyttöön. Riskien hallintaa tukemaan on kehitetty kansainvälisiä standardeja. Yksi näistä on ISO/IEC 42001, “Management System for Artificial Intelligence”, joka tarjoaa viitekehyksen tekoälyn hallintajärjestelmän perustamiselle, toimeenpanolle, ylläpidolle ja jatkuvalle kehittämiselle. Standardit ovatkin tärkeä osa tekoälyn hallintaa, mutta niiden lisäksi yritysten tulee määrittää kontekstiinsa soveltuva lainsäädäntö ja rakentaa vaatimustenmukaisuuden prosessit huomioimaan kyseinen sääntely.  

Ohjaus ja valvonta

Hallituksen tulee aktiivisesti arvioida yhtiön tekoälyn hallintamallia. Keskeisiä kysymyksiä ovat:

  • Mitä tietoturva ja tietosuojaviitekehyksiä yhtiö on ottanut käyttöön?
  • Onko yhtiö omaksunut ISO/IEC 42001 standardin?
  • Miten yhtiö varmistaa soveltuvan lainsäädännön vaatimusten toteutumisen osana tekoälyn kehitystä, hankintaa ja käyttöä?
  • Onko henkilöstölle toteutettu riittävä koulutus tekoälyn vastuullisesta käytöstä ja riskienhallinnasta?
  • Onko yrityksellä selkeä prosessi tekoälyjärjestelmien jatkuvaan valvontaan?

Epäonnistuminen tällä osaalueella voi johtaa vakaviin seurauksiin. Arkaluonteista dataa, liikesalaisuuksia ja taloudellista dataa saatetaan tallentaa tekoälyjärjestelmiin tai ulkoisiin tietokantoihin myöhempää käyttöä varten lainsäädännön ja yritysten intressien vastaisesti. Tällaisen datan poistaminen on haastavaa ja kallista, ja sen täydellisen poistumisen varmistaminen on entistäkin vaikeampaa. Seurauksena voi olla merkittäviä sakkoja, viranomaisten määräämiä käyttökieltoja, mainehaittoja sekä asiakkaiden ja työntekijöiden luottamuksen menettäminen.  

Tekoälymallien arviointi 

Kaikille yhtiössä käytettäville tekoälyjärjestelmille — olivatpa ne sisäisesti kehitettyjä tai ulkoisiin ratkaisuihin, kuten ChatGPT:hen tai muihin generatiivisiin tekoälyratkaisuihin, perustuvia — tulee tehdä järjestelmällinen arviointi. Hallituksen on varmistettava, että järjestelmät ja niiden käyttö noudattavat lainsäädännön vaatimuksia.  

Seuraava tilanne havainnollistaa ongelmaa: työntekijä käyttää generatiivista tekoälypalvelua analysoidakseen arkaluonteista dataa, kuten palkkatietoja, henkilöstöetuja tai konsernin vakuutusratkaisuja. Tällainen käyttö voi loukata esimerkiksi kolmansien osapuolten immateriaalioikeuksia, vaarantaa henkilötietojen suojan tai johtaa perusoikeuksien loukkauksiin.   

Mitä sensitiivisempää käsiteltävä data on — kuten henkilötiedot, IPR:t ja liikesalaisuudet, ja mitä enemmän tekoäly vaikuttaa yksilöiden oikeuksiin ja vapauksiin — kuten rekrytointipäätöksiin, henkilöstöhallintoon tai asiakkaiden luokitteluun, sitä suuremmista ja vakavammista riskeistä on kyse. 

Kolmannen osapuolen varmentaminen

Hallituksen on suositeltavaa hankkia riippumaton kolmas osapuoli arvioimaan tekoälyteknologiaa ja sen käyttöä. Arvioinnin avulla voidaan selvittää, noudattaako organisaatio ISO/IEC 42001 standardia, EU:n tekoälyasetusta ja muuta sovellettavaa lainsäädäntöä sekä onko riskien vähentämiseksi suunnitellut toimenpiteet toteutettu oikein ja tehokkaasti.  

Luottamus syntyy ohjauksesta

Nykyisessä tekoäly-ympäristössä hallituksen tulee hallita yrityksen riskejä kolmen askeleen kautta:

  1. Luo selkeä hallintamalli ja vastuut tekoälylle
  2. Varmista lakien, standardien ja sisäisten käytäntöjen noudattaminen
  3. Seuraa, arvioi ja paranna tekoälyn käyttöä jatkuvasti

Vain rakenteellisen valvonnan ja informoidun sitoutumisen kautta hallitukset voivat rakentaa sisäistä ja ulkoista luottamusta samalla mahdollistaen organisaatioilleen tekoälyn täyden arvon realisoitumisen ja tehokkaan skaalautumisen.

Yhteystiedot

Alex Clarke
AI & Data Analytics Lead, Audit & Assurance
alex.clarke@deloitte.fi

Jere Lehtioksa
Manager, Tax & Legal
jere.lehtioksa@deloitte.fi

Harri Metso
Partner, Tax & Legal
harri.metso@deloitte.fi

Did you find this useful?

Yes
No

Thanks for your feedback

Your feedback is important to us

To tell us what you think, please update your settings to accept analytics and performance cookies.

Need help updating cookies?