Die KI-bestuurskloof met ISO 42001 oorbrug

Deur Phil Muncaster • 20 Januarie 2026

Die VK het 'n probleem met KI-bestuur. Dit was dalk nie 'n paar jaar gelede 'n probleem nie, toe projekte in die meeste organisasies stuksgewys was. Maar vandag se ondernemings omhels die tegnologie met toenemende ywer. Volgens die BSIByna twee derdes (62%) van sakeleiers in die VK en elders is van plan om KI-beleggings in die komende jaar te verhoog om produktiwiteit, doeltreffendheid en kostevermindering te verbeter. Meer as die helfte (59%) beskou dit as noodsaaklik vir groeiplanne.

Tog is dieselfde organisasies besig om in 'n KI-bestuurskrisis te "slaapwandel", waarsku die standaardliggaam. Hulle beweer dat slegs 'n kwart (24%) 'n KI-bestuursprogram in plek het, insluitend slegs 'n derde (34%) van groot ondernemings. Dit is waar ISO 42001 'n vanselfsprekende keuse behoort te wees.

Wat die BSI sê

Die BSI se studie is gebaseer op onderhoude met 850 senior sakeleiers in agt lande, en 'n KI-ondersteunde sleutelwerkontleding van meer as 100 sakeverslae van multinasionale maatskappye. Dit het bevind dat slegs 'n kwart (24%) van besighede werknemers se gebruik van KI-instrumente monitor en slegs 30% het prosesse om KI-risiko's en versagtingsmaatreëls te assesseer. Slegs 'n vyfde (22%) verhoed dat werknemers ongemagtigde KI-instrumente gebruik.

Die gapings in bestuur strek verder as skadu-IT-risiko. Slegs 28% van die respondente sê hulle weet watter databronne hulle gebruik om KI op te lei en te ontplooi. Daardie syfer het eintlik gedaal van 35% aan die begin van die jaar. Slegs 40% het prosesse om die gebruik van sensitiewe/vertroulike data vir KI-opleiding te beheer.

Organisasies is ewe swak voorbereid vir wanneer dinge verkeerd loop. Slegs 'n derde merk kommer of onakkuraathede op en 29% het prosesse vir die bestuur en reaksie op KI-voorvalle. Slegs 30% het 'n formele risikobepalingsproses om te oorweeg of KI nuwe kwesbaarhede kan inbring. Dit verhoog die risiko van 'n ernstige onderbreking of voorval. Tog erken 'n vyfde van die respondente dat generatiewe KI (GenKI) so besigheidskrities geword het dat hulle nie dink die organisasie kan lank daarsonder funksioneer nie.

Selfvoldaanheid kan deel van die probleem wees. Meer as die helfte van globale sakeleiers (56%) sê hulle is vol vertroue dat hul intreevlakpersoneel die vaardighede het wat nodig is om KI te gebruik, en 'n soortgelyke persentasie sê dieselfde oor die hele organisasie. Meer as die helfte (55%) is vol vertroue dat hulle personeel kan oplei om GenAI "krities, strategies en analities" te gebruik. Tog het net 'n derde 'n toegewyde leer- en ontwikkelingsprogram. En opleiding kan jou net tot 'n sekere punt bring.

Maak dit saak?

Nakoming blyk eintlik af te neem wanneer dit by KI kom. Vandag sluit die helfte (49%) van globale organisasies KI-verwante risiko's in breër nakomingsprogramme in, 'n afname van 60% ses maande gelede. Maar daardie daling word nie verklaar deur die aantal wat toegewyde programme uitrol om die tegnologie te bestuur nie.

Waarom maak dit saak? Omdat KI-risiko reeds die sakelandskap deurdring. Voorbeelde sluit in:

Toevallige lekkasies van sensitiewe inligting deur kommersiële kletsbotte
Bevooroordeelde opleidingsdata/modelle wat lei tot uitsette wat handelsmerkreputasie kan beïnvloed
Skadu-KI wat lei tot data-blootstelling of die skep van foutiewe kode
Swak gehalte of vergiftigde data, wat lei tot agterdeure en onakkurate uitvoer
Regulatoriese nie-nakoming van databeskerming, kuberveiligheid en IP-oortredingswette
Kwetsbaarhede regoor die KI-voorsieningsketting wat nie aangespreek word nie, wat die organisasie blootstel aan oortredings

Hierdie risiko's sal net toeneem namate agentiese KI posvat – wat 'n potensieel beduidende domino-effek op die winslyn en korporatiewe reputasie skep. Volgens 'n onlangse EY-studie, byna alle (98%) Britse respondente het verliese oor die afgelope jaar gerapporteer as gevolg van KI-verwante risiko. Meer as die helfte (55%) het beweer dat dit hulle meer as $1 miljoen (£750,000) gekos het, terwyl die gemiddelde verlies op $3.9 miljoen (£2.9 miljoen) per organisasie geraam is. Die mees algemene risiko's was regulatoriese nie-nakoming, onakkurate of swak gehalte opleidingsdata, en hoë energieverbruik wat volhoubaarheidsdoelwitte beïnvloed.

Pasop vir die gaping

Daar was 'n paar ligpunte in die BSI-verslag. Sleutelwoordontleding het getoon dat "bestuur" en "regulering" meer sentraal staan in verslae wat deur VK-gebaseerde maatskappye vervaardig word. Hulle het 80% meer gereeld verskyn as in verslae van maatskappye gebaseer in Indië en 73% meer as dié gebaseer in China. Risiko- en voldoeningsfunksies "werk egter steeds met 'n beperkte, ontwikkelende speelboek" in die VK, voer IO (voorheen ISMS.online) se uitvoerende hoof, Chris Newton-Smith, aan.

“Die grootste probleem wat ons sien, is nie ’n gebrek aan voorneme nie, maar ’n gebrek aan struktuur. Besighede het eenvoudig nog nie die raamwerke, beleide of kruisfunksionele eienaarskap wat nodig is om KI op dieselfde manier te beheer as wat hulle inligtingsekuriteit of privaatheid beheer nie,” sê hy vir IO.

“Ek dink die grootste struikelblok op die oomblik is dat baie leierskapspanne steeds die risiko's onderskat, want KI word hoofsaaklik as 'n innovasie-instrument beskou eerder as 'n tegnologie wat 'n organisasie se bedreigingsoppervlak fundamenteel kan hervorm en tans hervorm.”

Sonder 'n formele bestuursmodel in plek, sal bekommernisse wat deur sekuriteitspanne geopper word, in silo's vasgevang word of as 'n struikelblok vir groei afgemaak word. Slegs wanneer KI-risiko as 'n direksievlakkwessie behandel word, sal die gaping tussen aanvaarding en toesig begin toeneem, voeg Newton-Smith by.

Die goeie nuus is dat ISO 42001 presies vir hierdie doel gebou is, voer Mark Thirlwell, globale digitale direkteur by BSI, aan.

“Dit bied ’n praktiese raamwerk vir die vestiging van ’n formele KI-bestuurstelsel, wat organisasies verder as vae beginsels na konkrete aksie neem. Die standaard vereis dat leiers KI-spesifieke risiko’s formeel moet assesseer en behandel, duidelike aanspreeklikheid moet vestig en moet verseker dat veilige prosesse vir die hele KI-lewensiklus in plek is,” sê hy vir IO.

“Die aanvaarding van hierdie gestruktureerde benadering gaan nie daaroor om innovasie te vertraag nie, maar om dit verantwoordelik en veilig moontlik te maak. Dit gee leierskap die gereedskap om van 'n reaktiewe houding na een van strategiese beheer oor te skakel, wat verseker dat KI 'n veilige en betroubare drywer van langtermyngroei word.”

IO se Newton-Smith stem saam en verduidelik dat die standaard duidelikheid skep oor rolle, risikobepaling, modellewensikluskontroles, verskaffertoesig en monitering.

“Dit stem ook natuurlik ooreen met bestaande raamwerke soos ISO 27001 en ISO 27701, wat beteken dat besighede die bestuurs- en risikostrukture kan uitbrei waarop hulle waarskynlik reeds staatmaak vir sekuriteit en privaatheid,” voeg hy by.

Aan die slag

So hoe moet organisasies hul ISO 42001-nakomingsreis begin? Integreer KI-beheer in 'n bestaande ISMS eerder as om dit as 'n losstaande projek te behandel, adviseer Newton-Smith.

“Dit beteken in wese: die kartering van KI-gebruiksgevalle na risiko's; die skep van duidelike aanspreeklikheid oor leierskap, ingenieurswese, regsdienste en nakoming; die vestiging van herhaalbare prosesse vir modelmonitering en voorvalbestuur; en die versekering dat die voorsieningsketting aan dieselfde standaard gehou word,” sê hy.

“Deur op hierdie manier met 'n gesentraliseerde beheerstelsel te begin, word die program van dag een af makliker meetbaar, skaalbaar en ouditbaar. ISO 42001 is nie voldoening ter wille van voldoening nie, maar eerder die fondament vir betroubare, kommersieel lewensvatbare KI-aanvaarding.”

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Lees meer van Phil Muncaster

cyber Security 3 Februarie 2026

WEF-verslagbedrog is nou uitvoerende hoofde se grootste kuberbekommernis, maar dit is nie die enigste nie.

WEF-verslag: Bedrog is nou uitvoerende hoofde se grootste kuberprobleem, maar dit is nie die enigste een nie.

Vyf jaar is 'n lang tyd in kuberveiligheid. Tog is dit hoe lank die Wêreld Ekonomiese Forum (WEF) al uitvoerende hoofde peil vir sy Globale Kuberveiligheid O...

Phil Muncaster

cyber Security 27 Januarie 2026

privaatheid maak saak wat voldoeningspanne in 2026 kan verwag banier

Privaatheidsaangeleenthede: Wat voldoeningspanne in 2026 kan verwag

28 Januarie is Wêreldwye Privaatheidsdag – 'n geleentheid om die reg op dataprivaatheid en -beskerming te vier wat baie van ons vandag as vanselfsprekend aanvaar. Dit was...

Phil Muncaster

cyber Security 6 Januarie 2026

vyf sekuriteits- en voldoeningstendense om in 2026 voor op te let

Vyf Sekuriteits- en Nakomingstendense om in 2026 voor op te let

Hoe kan die komende 12 maande lyk vir kuberveiligheid- en voldoeningsprofessionele persone? Ons het die nuus fynkam, die voorspellings van die bedryf geabsorbeer...

Phil Muncaster