Microsoft maakt zichtbaar wat bij AI-agents vaak ontbreekt
KPMG en Microsoft kondigden op 9 juni aan dat KPMG Microsoft Agent 365 inzet om AI-agents organisatiebreed te beheren, monitoren en beveiligen. Dat is geen los productnieuws. Het is een signaal dat enterprise AI volwassen wordt: agents krijgen een plek in de operatie, dus moeten ze ook bestuurbaar worden.
De interessante verschuiving zit niet in “meer agents”. Die zit in het besef dat je agents niet veilig kunt opschalen als niemand precies weet welke agents bestaan, waar ze toegang toe hebben, welke acties ze mogen voorbereiden en wie verantwoordelijk blijft.
Van chatbot naar operationeel systeem
Veel organisaties zitten nog in de eerste fase: pilots, interne assistenten, losse Copilot-workflows en kleine automatiseringen per team. Dat kan nuttig zijn, maar het creëert ook een nieuw soort schaduw-IT. Een agent is niet zomaar een scherm met tekst. Een agent kan informatie ophalen, dossiers interpreteren, conceptbesluiten maken, tickets voorbereiden of gegevens richting een systeem sturen.
Zodra dat gebeurt, verandert de vraag. Niet: “kan het model dit?” Maar: “mag dit systeem dit, met deze context, voor deze gebruiker, in dit proces?”
Governance is geen rem, maar de voorwaarde voor schaal
De reflex is vaak om governance te behandelen als compliancewerk aan het einde. Eerst iets bouwen, later beleid toevoegen. Bij AI-agents is dat zwak. Zonder governance weet je niet welke context gebruikt wordt, welke bron leidend is, waar menselijke goedkeuring nodig blijft en hoe je achteraf kunt verklaren wat er is gebeurd.
Daarom is de Microsoft/KPMG-aankondiging relevant: de markt begint agents te behandelen als operationele assets die beheer nodig hebben. Niet als speeltjes in een lab. Dat is precies de beweging die nodig is om van AI-experimenten naar AI-native werken te gaan.
Waar het in de praktijk misgaat
De zwakke plekken zijn meestal concreet:
- Geen inventaris: teams weten niet welke agents al bestaan of welke tooling gebruikt wordt.
- Te brede toegang: agents kunnen meer documenten, mailboxen of systemen zien dan nodig is.
- Onduidelijke actiegrenzen: het verschil tussen voorbereiden, aanbevelen en uitvoeren is niet hard genoeg ontworpen.
- Geen audit trail: achteraf is niet goed terug te zien welke bron, prompt, gebruiker of workflow tot een output leidde.
- Geen eigenaarschap: niemand voelt zich verantwoordelijk voor kwaliteit, escalatie en lifecyclebeheer.
Dit zijn geen abstracte AI-risico’s. Dit zijn gewone operationele risico’s, maar dan met een systeem dat taal, data en workflows met elkaar verbindt.
De laag die bedrijven nodig hebben
Een production-grade agent heeft meer nodig dan een goed model. Hij heeft betrouwbare context nodig, duidelijke redeneringstaken en veilige aansluiting op echte acties. In gewone taal: AI moet de juiste informatie kunnen vinden, een taak betrouwbaar kunnen voorbereiden en daarna binnen duidelijke grenzen aansluiten op het proces.
Dat betekent onder andere: permissions respecteren, bronverwijzingen bewaren waar nodig, human-in-the-loop inbouwen bij risicovolle stappen, least privilege toepassen bij integraties en expliciet ontwerpen wat een agent nooit zelfstandig mag doen.
Wat management nu moet vragen
Als je AI-agents serieus wilt inzetten, begin dan niet met de vraag welke tool het hardst groeit. Begin met deze vragen:
- Welke processen verdienen überhaupt een agent, omdat er veel herhaling, contextwisseling of overdracht in zit?
- Welke data en documenten zijn leidend, en hoe bewaken we permissies en versiebetrouwbaarheid?
- Waar mag AI alleen voorbereiden, en waar mag het na menselijke goedkeuring ook acties klaarzetten?
- Wie is eigenaar van kwaliteit, monitoring, escalatie en uitfasering?
- Hoe voorkomen we dat elke afdeling zijn eigen onzichtbare agent-landschap bouwt?
De bedrijven die hier nu orde in aanbrengen, gaan sneller dan bedrijven die wachten tot governance een incident-reactie wordt.
Laava’s punt
De volgende fase van AI in bedrijven wordt niet gewonnen door de meeste demo’s. Die wordt gewonnen door organisaties die AI in hun operatie durven plaatsen, maar dat doen met grip: context op orde, duidelijke actiegrenzen, veilige integraties en meetbare kwaliteit.
Dat is minder spectaculair dan een promptdemo. Het is ook precies waar de waarde zit.
Bronnen
Forbes: Microsoft Makes Governance The Gate For Enterprise AI Agents