When the Auditor General Walks In
On May 12, 2026, Ontario's Auditor General Shelley Spence released a special report on AI in the provincial public sector. The findings should be required reading for every Crown corporation board and health authority governance committee in Canada.
Between April and August 2025, approximately 12,000 Ontario government employees accessed roughly 400 AI websites. Of those, 244 -- about 60 per cent -- were rated unsafe or unsecured by the government's own cybersecurity software. Only one generative AI tool had been officially approved for government use. It accounted for six per cent of actual AI activity. The other 94 per cent was happening outside any governance framework.
The medical findings were more direct: of 20 AI transcription tools tested across health care settings, nine fabricated clinical information, 12 recorded the wrong medication, and 17 missed critical mental health details.
None of this was hidden. It was simply ungoverned.
This Is Not an Ontario Problem
The instinct, when reading a report like this, is to locate it geographically. Ontario's problem. Ontario's auditor. Ontario's public servants.
That instinct is wrong.
Ontario published the report because Ontario has an active auditor general with the mandate and resources to look. The underlying conditions -- widespread informal AI adoption, a single approved tool that most employees bypass, procurement processes that were not designed for AI-speed deployment, and governance committees with no formal AI oversight structure -- are not unique to Queen's Park.
They are the default operating condition for most Canadian public institutions right now, including Crown corporations, health authorities, and regulated entities across Atlantic Canada.
The Atlantic AI Summit, held June 3-5 in Fredericton at UNB, made this tension visible. The summit's central thread -- how Atlantic Canada can build applied AI capacity across health, energy, defence, and clean technology -- is the adoption conversation. The governance question is the necessary companion, and it is moving more slowly.
The Governance Gap, Precisely Named
What Ontario's Auditor General described is not a cybersecurity failure or a technology procurement failure. It is a governance failure.
The distinction matters for boards.
Cybersecurity failures get routed to CISOs and IT committees. Technology procurement failures get routed to finance and operations. Governance failures -- where the decision-making architecture itself was absent -- belong at the board level.
The specific failure Ontario named was this: employees were making hundreds of daily decisions about which AI tools to use, what data to input, and how much to trust the outputs, in the complete absence of a framework telling them how to make those decisions. The board had approved an AI strategy. The board had not built AI oversight.
McKinsey's June 2026 board governance brief noted the same dynamic: organizations with documented AI strategies are now more exposed than organizations with no strategy at all, because the strategy created adoption momentum without creating oversight infrastructure proportionate to the risk.
The EU AI Act Extension: Why the Breathing Room Is a Risk
One week before this issue published, the EU finalized an extension of the AI Act's high-risk application requirements from August 2026 to December 2027. Canadian boards with no EU-facing operations may be tempted to treat this as a stay of execution.
It is not.
The extension applies to a specific tier of high-risk AI applications. The Act's requirements for AI-generated content transparency took effect December 2024. The prohibition on unacceptable-risk AI systems took effect February 2025. What moved to 2027 was the most technically complex tier -- the obligations requiring extensive conformity assessments and technical documentation for high-risk use cases in employment, education, and critical infrastructure.
The more important signal is not the extension itself but the pattern it represents: regulators worldwide are building AI governance frameworks, adjusting their timelines as the technology moves faster than anticipated, and expanding their audit scope as they go. Canada's Treasury Board has already published a public register of 400+ AI systems in use across 42 federal institutions. Crown corporation boards that are not yet asking "what AI systems are being used in our organization and who is governing them" are behind the audit cycle, not ahead of it.
The Governance Posture That Wins
There is a practical difference between boards that will scramble to answer auditor questions about AI governance and boards that will not.
The difference is not the presence or absence of an AI strategy. It is whether the board has built a structured oversight function -- a defined mandate for a governance committee, a risk matrix calibrated to the organization's specific exposure, a cadence for reporting on AI-related decisions, and a charter that documents the board's position before the question is asked by an external party.
Organizations that build this now are not gold-plating their governance. They are doing the work at a time of their own choosing, with their own framing, before an audit observation or a regulatory inquiry sets the framing for them.
Intelligence Atlantique covers board governance, organizational AI readiness, and strategic intelligence for Canadian leaders. Published weekly. Free. Bilingual.
Pablo Montreuil | Founder, SPG Research Group | [email protected]
Forward this to a board member who needs to be having this conversation.
Quand la verificatrice generale arrive | Intelligence Atlantique | Numero 2
Juin 2026 | SPG Groupe de recherche | Intelligence strategique bilingue
Quand la verificatrice generale arrive
Le 12 mai 2026, la verificatrice generale de l'Ontario, Shelley Spence, a publie un rapport special sur l'utilisation de l'IA dans le secteur public provincial. Les conclusions devraient etre une lecture obligatoire pour chaque conseil de societe d'Etat et comite de gouvernance d'autorite sanitaire au Canada.
Entre avril et aout 2025, environ 12 000 employes du gouvernement de l'Ontario ont acces a pres de 400 sites Web d'IA. Parmi ceux-ci, 244 -- soit environ 60 % -- ont ete juges non securises par le propre logiciel de cybersecurite du gouvernement. Un seul outil d'IA generative avait ete officiellement approuve pour un usage gouvernemental. Il representait six pour cent de l'activite IA reelle. Les 94 % restants se produisaient en dehors de tout cadre de gouvernance.
Les conclusions medicales etaient encore plus directes : parmi 20 outils de transcription IA testes dans des etablissements de sante, neuf avaient fabrique des informations cliniques, 12 avaient enregistre le mauvais medicament, et 17 avaient omis des details critiques en sante mentale.
Rien de tout cela n'etait cache. C'etait simplement non gouverne.
Ce n'est pas un probleme ontarien
Le reflexe, a la lecture d'un tel rapport, est de le localiser geographiquement. Le probleme de l'Ontario. La verificatrice de l'Ontario. Les fonctionnaires de l'Ontario.
Ce reflexe est errone.
L'Ontario a publie le rapport parce que l'Ontario dispose d'une verificatrice generale active, avec le mandat et les ressources necessaires pour examiner. Les conditions sous-jacentes -- adoption informelle generalisee de l'IA, un seul outil approuve que la plupart des employes contournent, processus d'approvisionnement non concus pour la vitesse de deploiement de l'IA, et comites de gouvernance sans structure formelle de surveillance de l'IA -- ne sont pas propres a Queen's Park.
Elles constituent la condition d'exploitation par defaut de la plupart des institutions publiques canadiennes en ce moment, y compris les societes d'Etat, les autorites sanitaires et les entites reglementees a travers le Canada atlantique.
Le Sommet atlantique de l'IA, tenu du 3 au 5 juin a Fredericton a l'UNB, a rendu cette tension visible. Le fil directeur du sommet -- comment le Canada atlantique peut developper des capacites d'IA appliquee dans les secteurs de la sante, de l'energie, de la defense et des technologies propres -- correspond a la conversation sur l'adoption. La question de la gouvernance en est le pendant necessaire, et elle avance plus lentement.
L'ecart de gouvernance, precisement nomme
Ce que la verificatrice generale de l'Ontario a decrit n'est pas un echec de cybersecurite ni un echec d'approvisionnement technologique. C'est un echec de gouvernance.
La distinction importe pour les conseils.
Les echecs de cybersecurite sont achemines vers les RSSI et les comites informatiques. Les echecs d'approvisionnement technologique vont aux comites de finances et d'exploitation. Les echecs de gouvernance -- ou l'architecture decisionnelle elle-meme etait absente -- appartiennent au niveau du conseil.
L'echec precis que l'Ontario a nomme etait celui-ci : des employes prenaient des centaines de decisions quotidiennes sur les outils d'IA a utiliser, les donnees a saisir et la confiance a accorder aux resultats, en l'absence totale d'un cadre leur indiquant comment prendre ces decisions. Le conseil avait approuve une strategie IA. Le conseil n'avait pas construit de surveillance de l'IA.
L'extension de la Loi europeenne sur l'IA : pourquoi le delai est un risque
Une semaine avant la publication de ce numero, l'UE a finalise une extension des exigences d'application des systemes d'IA a haut risque, repoussant l'echeance d'aout 2026 a decembre 2027. Les conseils canadiens sans activites face a l'UE pourraient etre tentes d'y voir un sursis.
Ce n'en est pas un.
L'extension s'applique a un niveau specifique d'applications d'IA a haut risque. Les exigences de transparence pour les contenus generes par l'IA sont entrees en vigueur en decembre 2024. L'interdiction des systemes d'IA presentant des risques inacceptables est entree en vigueur en fevrier 2025. Ce qui a ete reporte a 2027, c'est le niveau le plus techniquement complexe.
Le signal le plus important n'est pas l'extension elle-meme, mais le schema qu'elle represente : les regulateurs du monde entier construisent des cadres de gouvernance de l'IA, ajustent leurs calendriers a mesure que la technologie evolue plus vite que prevu, et elargissent leur perimetre d'audit au fil du temps.
La posture de gouvernance qui gagne
Il existe une difference pratique entre les conseils qui devront se demener pour repondre aux questions d'un verificateur sur la gouvernance de l'IA et ceux qui ne le devront pas.
La difference ne reside pas dans la presence ou l'absence d'une strategie IA. Elle reside dans le fait que le conseil ait ou non construit une fonction de surveillance structuree -- un mandat defini pour un comite de gouvernance, une matrice de risques calibree a l'exposition specifique de l'organisation, une cadence de reddition de comptes sur les decisions liees a l'IA, et une charte qui documente la position du conseil avant que la question ne soit posee par une partie externe.
Les organisations qui font ce travail maintenant ne dorent pas leur gouvernance. Elles effectuent le travail au moment de leur propre choix, avec leur propre cadrage, avant qu'une observation d'audit ou une demande reglementaire ne definisse le cadrage pour elles.
Intelligence Atlantique couvre la gouvernance des conseils, la maturite organisationnelle en IA et l'intelligence strategique pour les leaders canadiens. Publie chaque semaine. Gratuit. Bilingue.
Pablo Montreuil | Fondateur, SPG Groupe de recherche | [email protected]
Transmettez ceci a un membre de conseil qui doit avoir cette conversation.
