top of page
Søg

Sådan balancerer CFO'en AI-muligheder med datasikkerhed

  • for 3 timer siden
  • 5 min læsning

Som CFO står du i en klemme. På den ene side forventer ledelsen og bestyrelsen at I udnytter AI til at være mere produktive, analytiske og hurtige. På den anden side har du ansvaret for at jeres data, GDPR-compliance og revisionsmæssige integritet ikke bliver kompromitteret. De to ting skal balanceres, og balancen er ikke selvforklarende.

Denne artikel er en praktisk guide. Den bygger på erfaringer fra danske økonomifunktioner der har taget AI i brug, herunder de fejl vi har set, og det der rent faktisk har virket.


Grundpræmissen: AI bruges allerede hos jer


Lad os starte med den ubehagelige sandhed: AI bruges allerede i jeres organisation. Måske bruger controlleren ChatGPT til at formulere mails. Måske har en regnskabsassistent uploadet en leverandørfaktura til en AI for at få ekstraheret data. Måske bruger en medarbejder Claude til at skrive en rapport.


Den tid hvor CFO'en kunne tro at AI var noget der kom en dag, er forbi. Spørgsmålet er ikke længere om jeres organisation bruger AI. Det er om det sker under kontrollerede vilkår, eller som skyggebrug på private konti.


Skyggebrug er den reelle risiko. Når medarbejdere bruger private ChatGPT-konti fordi virksomheden ikke tilbyder godkendte alternativer, uploader de ofte fortrolige data til systemer I ikke har aftaler med. Det er ikke ond vilje, det er praktisk nødvendighed. Men det er en GDPR-risiko, en fortrolighedsrisiko og en kontrakt-risiko.


De fem søjler i CFO'ens AI-sikkerhed


Vi anbefaler at bygge jeres AI-datagovernance op om fem søjler. De hænger sammen, og kæden er ikke stærkere end det svageste led.


1: Leverandørvalg og kontraktgrundlag


Det første spørgsmål du skal stille jeres leverandør er: Træner I på vores data? Det rigtige svar er nej. Hvis svaret er ja eller det afhænger af indstillingerne, skal I ikke bruge produktet til forretningsdata.


Enterprise-versioner af de store AI-leverandører har typisk klare svar:


  • Microsoft 365 Copilot og Microsoft Copilot Studio bruger ikke jeres data til træning af modellerne. Det er del af standard enterprise-aftalen.

  • Claude for Enterprise (Anthropic) har samme garanti.

  • ChatGPT Team og Enterprise (OpenAI) har også opt-out fra træning som standard.

  • Gratis forbrugerversioner har oftest ikke samme garantier og bør ikke bruges til forretningsdata, uanset hvor praktisk det er.


Derudover skal I have underskrevet en databehandleraftale (DPA) med leverandøren, hvor ansvar, datalokation og sletning er reguleret. Det er ikke valgfrit under GDPR.


2: Datalokation og dataminimering


Hvor ligger jeres data? EU-baseret behandling er et lovligt udgangspunkt. Behandling i USA eller tredjelande kræver ekstra juridisk fundament (typisk Standard Contractual Clauses og en transfer impact assessment).


Microsoft tilbyder EU Data Boundary for Copilot-tjenester, så data primært behandles inden for EU. Anthropic (Claude) tilbyder EU-residency for enterprise-kunder. OpenAI tilbyder det via ChatGPT Enterprise. Det er ikke altid default. I skal aktivt vælge det.


Dataminimering er den anden halvdel. Upload kun det AI'en reelt behøver. Har AI'en brug for CPR-numre for at udarbejde et budget-notat? Nej. Fjern dem først.


3: Adgangsstyring og least privilege


Microsoft 365 Copilot bruger de rettigheder medarbejderen allerede har. Hvis en økonomiassistent ved en fejl har adgang til en HR-mappe med lønoplysninger, får Copilot det også. Og Copilot er god til at finde data medarbejderen ikke vidste eksisterede.


Før Copilot rulles ud bredt, bør I gennemgå adgangsrettigheder i SharePoint, OneDrive og Teams. Det er ikke en AI-opgave, det er en grundlæggende informationssikkerhedsopgave som AI blotlægger.


Princippet er least privilege: Medarbejdere skal kun have adgang til de data de har brug for. Det har altid været god praksis. AI gør det nu virkelig tydeligt om I har fulgt det.


4: Regler for hvad der må uploades


En god AI-politik definerer tre kategorier af data:


  • Frit tilladt: Offentligt tilgængelige data, ikke-fortrolige interne dokumenter.

  • Kun i godkendte værktøjer: Intern forretningsdata, finansiel rapportering, standard forretningskorrespondance.

  • Aldrig uploades: Persondata (især følsomme), kildekode med IP-værdi, bestyrelsesmateriale, M&A-materiale, kundedata uden samtykke.


Reglerne skal være enkle nok til at en medarbejder kan huske dem. Lange politikker der ikke læses, håndhæves heller ikke.


5: Audit trail og kvalitetskontrol


Hvem har brugt AI til hvad? For de fleste daglige opgaver behøver I ikke detaljeret log. Men for materiale der indgår i årsregnskab, bestyrelsesrapportering eller revisionsmæssige beslutninger, skal I vide hvor AI har været involveret.


Praktisk løsning: En simpel regel om at AI-assisteret arbejde markeres i interne dokumenter, og at tallene altid trækkes fra validerede kilder, aldrig fra AI'en selv. AI'en formulerer. I validerer.


Microsoft Copilot vs Claude: Hvad bruger CFO'en til hvad?


De to AI-assistenter løser forskellige opgaver, og den sikre CFO bruger begge til det de er bedst til.


Microsoft 365 Copilot er bedst til det der lever i Microsoft 365. Mail-sammenfatning, Teams-mødereferater, hurtige Excel-analyser, PowerPoint-udkast. Copilot har adgang til dine organisationsdata via Microsoft Graph, hvilket er både styrken og den største risiko. Styrken: relevante svar baseret på jeres egne data. Risikoen: hvis adgangsrettigheder er sjusket, kan Copilot vise data forkert.


Claude er bedst når opgaven er et langt dokument eller en kompleks skriveopgave. Læs en 60-siders leverandøraftale og sammenfat risiciene. Skriv udkast til bestyrelsesnotat baseret på de vedlagte tal. Gennemgå en policy og find uklarheder. Claude har ikke adgang til jeres Microsoft 365 miljø by default. Du uploader de dokumenter du vil have behandlet. Det giver bedre datahygiejne i mange tilfælde, fordi du aktivt vælger hvad Claude ser.


I praksis bruger de fleste CFO'er vi arbejder med: Copilot i den daglige flow, Claude til de tungere opgaver.


De fem mest almindelige fejl vi ser


Efter at have hjulpet danske økonomifunktioner i gang med AI ser vi de samme fejl gentage sig. Her er de fem mest almindelige.


Fejl 1: At rulle licenser ud uden at investere i træning. AI uden træning giver ringe afkast. Medarbejderne bruger det til simple ting, finder det fint, og stopper der. Den reelle produktivitetsgevinst kommer efter 20-30 timers struktureret læring og eksperimentering.


Fejl 2: At tro at AI-politikken løser skyggebrug alene. En politik der forbyder noget uden at tilbyde alternativet, fungerer ikke i praksis. Hvis I siger ingen gratis ChatGPT, skal I samtidig sige her er jeres godkendte værktøj.


Fejl 3: At bruge AI til at generere tal. AI er god til at formulere, strukturere og analysere. Men tal skal komme fra jeres validerede datagrundlag (ERP, FP&A-platform, budgetsystem). Hvis AI genererer tal, skal de verificeres. Ellers er det en fejlkilde der går direkte ind i rapporteringen.


Fejl 4: At glemme adgangsrettigheder før Copilot-rollout. Copilot gør eksisterende adgangsproblemer meget mere synlige. Gennemgå rettigheder før rollout, ikke efter.


Fejl 5: At undervurdere forandringsledelsen. AI er en arbejdspraksis-forandring, ikke en IT-udrulning. Den største faktor for succes er om ledelsen bruger værktøjerne selv og gør det synligt.


Praktisk checkliste til CFO'en


Brug denne liste som udgangspunkt for et møde med jeres CIO eller IT-ansvarlig.


  • Har vi godkendte AI-værktøjer med underskrevne databehandleraftaler?

  • Træner leverandørerne på vores data? Dokumenteret?

  • Hvor ligger vores data geografisk?

  • Har vi gennemgået adgangsrettigheder før Copilot-rollout?

  • Har vi en AI-politik der er læst og forstået af medarbejderne?

  • Har vi markeret hvilke datatyper der aldrig må uploades?

  • Har vi en plan for kompetenceløft af nøglemedarbejdere?

  • Måler vi skyggebrug, eller antager vi at det ikke findes?

  • Har vi et rapporteringsformat til bestyrelsen om AI-initiativer og risici?

  • Har vi defineret hvem der har ansvaret når noget går galt?


Hvis der står mere end tre nej eller ved ikke, er der noget at arbejde med.


Hvor starter du?


Vi har hjulpet danske økonomifunktioner med budget, rapportering og analyse siden 2002, og med AI-forankring siden 2023. Vi kombinerer teknisk forståelse af værktøjerne med praktisk indsigt i hvordan økonomifunktioner rent faktisk arbejder.


Vores tilgang til CFO'en er følgende:


  • AI-inspirationsmøde: Vi gennemgår jeres nuværende arbejdsgange og identificerer de tre største AI-muligheder.

  • AI-kørekort til økonomifunktionen: Struktureret opkvalificering af nøglemedarbejdere, med løbende opdaterede use cases til Microsoft Copilot, Claude og ChatGPT.

  • Toolpack One med KPI Buddy: FP&A-platform med indbygget AI-assistent, forankret i jeres validerede data, så AI arbejder på tallene der faktisk er rigtige.



Vi er Microsoft Partner og medlem af AI Kompetencepagten i Danmark. Vi har siden 2002 hjulpet over 3.000 danske virksomheder med økonomi- og ledelsesværktøjer. Vi er baseret i København og Silkeborg.

bottom of page