For deg som signerer for en agent du ikke har bygget selv. Daglig leder, CFO, IT-leder, compliance, personvernombud, fagansvarlig. Vi gjennomgår hva agenten gjør, hvilke grenser den har, og hvilke kostnader den kan utløse.
Når agenten godkjenner et utlegg uten kvittering, sender feil pris til en kunde, eller overser en frist, havner ansvaret et sted. Hos daglig leder, CFO, fagansvarlig eller styret. Spørsmålet er ikke om noen får skylden. Det er om du kan vise hva du gjorde for å forhindre det.
Aksjeloven §6-12, GDPR, EU AI Act og bransjeforskrifter peker alle mot samme behov: den ansvarlige må kunne vise hva som ble vurdert og hvorfor. «Vi stolte på leverandøren» er sjelden nok når noe må forklares.
En leverandør kan ikke revidere sin egen leveranse. Det er hele poenget med tredjeparts-gjennomgang. Vi bygger ikke agenter for kunden vi reviderer. Vi ser på mandat, oppførsel, logging, risiko, avvik og ansvar.
AI-agenter bruker modeller, API-er, søk, verktøy, kjørte prosesser og menneskelig oppfølging. Uten terskler kan kostnaden vokse stille. En agent-revisjon må derfor også se på budsjettgrenser, forbruksmønstre og hvem som varsles når bruken avviker.
Et regnskapsbyrå jeg snakket med nylig hadde satt opp en AI-agent til å håndtere reiseregninger. Smart. Effektivt. Helt til den godkjente et utlegg på 47 000 kr uten kvittering, fordi prompten ikke spesifiserte beløpsgrense for «skjønnsmessig dokumentert».
Skatteetaten avslo fradraget. Krav om tilbakebetaling. Og spørsmålet alle stilte seg: hvem er det som skal forklare seg her?
Daglig leder, som godkjente bruken? Utvikleren, som leverte agenten? Modell-leverandøren, hvis prompt-tolkning gikk feil? Den ansatte, som la inn utlegget?
I dag er svaret uklart. Og uklart ansvar dreper tillit raskere enn dårlige tall.
Men det finnes en annen risiko som er mindre dramatisk, og derfor farligere: kostnaden som bare løper. En agent som gjør unødvendige kall, bruker feil modell, starter for mange verktøykjøringer eller aldri stopper en oppgave, kan bli dyr lenge før noen oppdager at den også er risikabel.
Vi mangler en yrkesgruppe.Når regnskap ble for komplisert til at hver bedrift kunne håndtere det selv, oppsto regnskapsbyråene. Da revisjon ble lovpålagt, fikk vi statsautoriserte revisorer. Det er ikke tilfeldig. Det er slik samfunnet bygger tillit til prosesser ingen enkeltperson kan etterprøve alene.
AI-agenter står ved samme terskel nå.
Når agenten din tar 200 beslutninger om dagen, kan ingen menneske sjekke alle. Men noen må kunne sjekke utvalget, mønstrene, avvikene og kostnadsbruken. Noen må kunne stille seg foran styret, tilsynsmyndigheten eller en granskning og si: «Ja, agenten har handlet innenfor mandatet sitt denne måneden. Her er dokumentasjonen. Her er avvikene. Her er kostnadene.»
Det gjelder ikke bare for styret. Daglig leder skriver under på årsregnskapet. CFO på skattemeldingen. IT-leder på sikkerhetsattester. Personvernombudet på DPIA-en. Fagansvarlig på kvalitetssystemet. Alle disse signaturene innebærer en aktsomhetsplikt som kollapser hvis ingen kan forklare hva agenten faktisk har gjort, og hvilke kostnader virksomheten har latt den pådra seg.
Det er agent-revisjon.Kan vi rekonstruere hva agenten faktisk gjorde?
Holder den seg innenfor definerte grenser?
Varsler den når den er usikker, gjør feil eller bryter kostnadsgrenser?
Kan den si «dette må et menneske ta»?
Er det dokumentert hvem som svarer når den bommer eller bryter mandat, kostnadsrammer og kontrollkrav?
Mangler én av dem, har du ikke en agent du kan stole på. Du har en risiko som venter på en utløsende hendelse. Juridisk, omdømmemessig eller økonomisk.
En agent kan være faglig riktig og likevel dårlig styrt hvis den bruker for dyre modeller, gjentar samme oppgave, kaller eksterne API-er uten terskler, eller eskalerer for sent. Derfor vurderer vi også budsjetter, forbruksgrenser, modellvalg, loggført ressursbruk og varsling ved uvanlige kostnadsmønstre.
Vi gjennomgår eksisterende AI-agenter mot de fem A-ene og leverer en skriftlig rapport som tåler å vises i styremøtet, hos Datatilsynet, eller i en granskning. Like relevant for daglig leder, CFO og fagansvarlig som for styret.
Før agenten settes i produksjon: en uavhengig vurdering av mandatet, grensene, varslingsmekanismene, dokumentasjonen og kostnadsrammene. Du får en skriftlig anbefaling du kan vedlegge styreprotokollen eller DPIA-en.
Vi analyserer modellbruk, API-kall, verktøykjøringer, retry-mønstre, eskaleringer og menneskelig etterarbeid. Målet er å finne hvor agenten blir dyr, hvor kostnaden er legitim, og hvor virksomheten mangler kontroll.
Månedlig stikkprøve av agentens beslutninger, varslingsrate, avvik og kostnadsbruk. Kvartalsvis rapport til ledelsen. Du kan vise aktsomhet uten å lese hver eneste logglinje selv.
Når noe har gått galt, og det vil det, gjør vi en uavhengig granskning, dokumenterer årsakskjeden, og hjelper deg med varsling til Datatilsynet eller andre myndigheter.
Hva skal daglig leder spørre om før godkjenning? Hva skal CFO se etter i regnskapsagenten? Hva skal personvernombudet kreve dokumentert? Hva skal styret vite om kostnadsrisiko? Vi har sjekklistene.
Lyrell ble etablert i 2023 for å tette et kritisk gap i markedet: fraværet av en standard for kvalitet, ansvar, kostnadskontroll og sikkerhet i norske AI-leveranser. Vi utvikler rammeverket og språket som definerer hva en god AI-agent faktisk er.
Vi trekker på årevis med erfaring fra komplekse teknologiprosjekter. Det gir oss den faglige tyngden som kreves for å revidere andres arbeid, uten at vi går på kompromiss med vår rolle som nøytral tredjepart.
Vi er spisset med vilje. For oss er uavhengighet en forutsetning for tillit.
Vi sender maks én oppdatering i måneden. Aldri spam. Du kan melde deg av når som helst.