Van shadow AI naar slimme AI – Deel 1

Met dit artikel starten Eduward van de Kamp en Mathijs Schouten een reeks AI-publicaties, waarin zij inzicht geven in adoptie, transparantie en assurance. Dit eerste deel richt zich op ‘AI-literacy’ en verantwoord gebruik van AI. Hoe beweeg je van ‘shadow AI’ naar verantwoordelijk AI-gebruik?

Binnen steeds meer auditafdelingen duikt het fenomeen op: collega’s die AI-chatbots gebruiken. Bijvoorbeeld om te sparren over de scope van een audit, of om complexe vragen te beantwoorden, zoals de dekking van controls in een SOC 2-verklaring.

De onzichtbare risico’s van ‘shadow AI’

We zien echter dat niet alle auditors zich bewust zijn van de risico’s van onverantwoord gebruik van AI. Onbedoeld kunnen vertrouwelijke bedrijfs- of klantdata in publieke AI-modellen terechtkomen, wat tot datalekken kan leiden. Welkom in de wereld van shadow AI. Deze naam verwijst naar de situatie waarin medewerkers op eigen initiatief software inzetten, volledig buiten het zicht en de beveiligingsprotocollen van de IT-afdeling. Het is, kort gezegd, het gebruik van AI zonder duidelijk beleid of richtlijnen.

Microsoft geeft aan dat 71% van alle werknemers ongeautoriseerde (shadow) AI-tools gebruikt tijdens het werk. Omdat de organisatie geen AI-toepassingen aanbiedt, of omdat medewerkers voorkeur hebben voor andere dan de aangeboden tools. Dit gebeurt buiten het zicht, de goedkeuring en de controle van de IT-afdeling. Ofwel, AI is overal, maar niet altijd zichtbaar.

Uit recent onderzoek blijkt dat het voor 36% van de medewerkers onduidelijk is of en hoe AI mag worden gebruikt. Door op output van AI-modellen te steunen, gaan mensen steeds minder zelf nadenken en vertrouwen ze op de AI-tool. Deze natuurlijke afname van kritisch denken bij het gebruik van AI kan leiden tot kwaliteits- en compliancerisico’s. Het gebruiken van bedrijfsgegevens met shadow AI kan ertoe leiden dat bedrijfsgeheimen of klantdata op straat komen te liggen.

Auditors die begrijpen hoe large language models werken, weten ook wanneer het verstandig is om deze niet te gebruiken

Meer dan tools: het belang van AI-literacy

AI-literacy begint precies hier: niet met tools, maar met bewustwording, ofwel ‘AI confidence’. Auditors die begrijpen hoe large language models (LLM’s) werken, weten ook wanneer het verstandig is om deze niet te gebruiken. De eerste stap in verantwoorde AI-adoptie is dus niet techniek, maar bewustwording. Over wat een LLM wel of niet kan. Maar ook bewust de beperkingen ervan kennen. De auditor moet onthouden dat LLM’s kunnen hallucineren, waarbij het model met grote stelligheid informatie genereert die feitelijk onjuist is. Omdat een LLM geen database met feiten raadpleegt, maar slechts het volgende woord voorspelt op basis van taalpatronen, kan nonsens er bedrieglijk geloofwaardig uitzien. Er moet daarnaast ook bewust worden nagedacht over het gebruik van klantdata en bedrijfsgeheimen in prompts. Het enkel door het bedrijf goedgekeurde LLM-modellen gebruiken is daarbij zeer relevant.

Soms laten medewerkers hun eigen drijfveren (urgentie, sociale invloed of het verhogen van de productiviteit) zwaarder wegen dan die van het bedrijf waar zij werken. Hierbij moet goed worden nagedacht of controlemaatregelen leiden tot het juiste gedrag: ‘Just because I am aware, doesn’t mean that I care.’

Digitale broodkruimels en ‘indicators of convenience’

Voor de meer technische speurneuzen onder ons: hoe herken je shadow AI? In cybersecurity zoeken we naar ‘indicators of compromise’ (IOC’s), maar bij shadow AI spreken we misschien beter van ‘indicators of convenience’. Het zijn de digitale broodkruimels die verraden dat er stiekem een ‘bot’ meekeek. De signalen zijn soms pijnlijk grappig. Denk aan de junior developer die plotseling een foutloze en goed beschreven Python-code oplevert waar zelfs een senior jaloers op is. Of de collega die in de haast vergeet te redigeren, waardoor het beleidsstuk opent met: ‘Natuurlijk, hier is een opzet voor het beleidsstuk…’

Hoewel we er misschien om kunnen lachen, is de impact serieus. Vraag dat maar aan Samsung. Hun ingenieurs plakten een vertrouwelijke broncode in ChatGPT om deze te optimaliseren, waardoor bedrijfsgeheimen onbedoeld in het publieke domein belandden. Het herkennen van deze signalen is geen heksenjacht, maar een uitnodiging tot dialoog. Het doel? De beweging maken van ‘stiekem plakken’ naar slim en veilig innoveren.

Van risico naar kans: ‘safe by design’

De opkomst van AI verschuift de grenzen van ons vakgebied ingrijpend. AI biedt auditors een unieke kans om nog meer waarde toe te voegen aan organisaties. Door slimme AI-tools te gebruiken, kunnen zij sneller en nauwkeuriger inzichten verkrijgen. Daardoor kunnen ze zich richten op de belangrijkste risico’s en kansen binnen de organisatie. Dit stelt auditors in staat om proactief mee te denken en strategisch advies te geven, wat de impact van hun werk vergroot.

Bij Mollie hebben we hierop inspelend een ‘safe by design’ AI-platform ontwikkeld. Dit platform biedt toegang tot meerdere zorgvuldig geselecteerde grote LLM’s. Zodat ook auditors kunnen kiezen welk model het beste bij hun behoeften past, terwijl de privacy en veiligheid van data gewaarborgd blijven. Door sterke ‘guardrails’ en compliancecontroles te integreren, zoals het opzetten van ‘intune policies’ voor het opzetten van alerts bij lekken van sensitieve informatie, minimaliseren we risico’s zoals onbedoelde datalekken of hallucinaties, zodat auditors AI zonder zorgen kunnen inzetten in hun dagelijkse werkzaamheden.

Wij geloven dat AI-gedreven auditing het werk niet alleen efficiënter maakt, maar ook leuker en uitdagender. Door repetitieve taken te automatiseren, ontstaat er meer ruimte voor creativiteit en diepgaande analyses. Zo kunnen auditors zich verder ontwikkelen en hun expertise inzetten voor het succes van hun klanten.

De vraag is niet meer óf we AI gebruiken, maar hoe we dat op een verantwoorde manier doen

De geboorte van de superauditor

Hoewel bewustwording van AI-risico’s belangrijk blijft, gaat onze aanpak bij Mollie verder dan alleen bewustwording. We bieden tools die vanaf het begin veilig zijn, waardoor de cognitieve belasting afneemt en verantwoord AI-gebruik standaard wordt. Dit stelt auditors in staat om AI vol vertrouwen te omarmen en te transformeren tot superauditors die kritisch denken combineren met AI-ondersteunde vaardigheden.

AI-assurance ontwikkelt zich tot een nieuwe discipline waarin audit, IT en ethiek samenkomen. Kritisch denken blijft de kern, maar krijgt een nieuwe dimensie: het beoordelen van de betrouwbaarheid en transparantie van AI-resultaten. Vaardigheden zoals bewustzijn van AI-risico’s, prompt-design en inzicht in het gedrag van LLM’s zijn onmisbaar. Mollie ondersteunt auditors bij het ontwikkelen van deze vaardigheden en biedt tegelijkertijd een robuust AI-platform dat zorgt voor betrouwbare en conforme AI-uitkomsten.

Nieuwe laag van professionaliteit

AI is niet zomaar een extra tool, het is een nieuwe laag van professionaliteit. Organisaties en auditafdelingen staan op een kruispunt: de vraag is niet meer óf we AI gebruiken, maar hoe we dat op een verantwoorde manier doen. De internal auditor heeft hierin een unieke positie als spiegel, gids en kritische vriend, die helpt AI ethisch en betrouwbaar in te zetten.

In het volgende artikel staat de uitlegbare audit centraal. We duiken in de wereld van modeltransparantie en governance. Waarom is AI-uitlegbaarheid veel meer dan slechts een modewoord? En wat betekent dit voor de auditor? We zien een verschuiving in de skillset: van controleur naar tolk. Welkom bij de uitlegbare audit.