Da die KI-Nutzung sprunghaft ansteigt, sind Unternehmen zu Recht besorgt darüber, wie sie eingesetzt wird und wofür sie eingesetzt wird.

Die Macht der KI – höhere Effizienz, reduzierte menschliche Fehler und die Fähigkeit, riesige Datenmengen sofort zu analysieren – ist unbestreitbar. Bleibt sie jedoch unkontrolliert, kann diese große Macht dem Unternehmen in Form von Datenschutzverletzungen, Voreingenommenheit, Halluzinationen und Modelldrift erheblichen Schaden zufügen.

Man kann den Geist nicht mehr zurück in die Flasche stecken, aber man kann KI-Governance-Praktiken einführen, um sicherzustellen, dass KI verantwortungsvoll, transparent und fair eingesetzt wird – ohne die technologische Innovation zu opfern.

Die gute Nachricht ist, dass Sie das Rad nicht neu erfinden müssen, um KI verantwortungsvoll zu steuern. Indem Sie die KI-Aufsicht in Ihr bestehendes GRC-Programm integrieren, können Sie sich schnell bewegen, Vertrauen aufbauen – und Risiken reduzieren.

Was ist KI-Governance?

KI-Governance ist eine strukturierte Methodik zur Aufrechterhaltung der Aufsicht über den Einsatz von KI, um sich vor Risiken zu schützen und sicherzustellen, dass ethische Standards eingehalten werden. Sie umfasst die Richtlinien, Vorschriften und andere Leitlinien, die die Entwicklung, den Einsatz und die Nutzung von künstlicher Intelligenz im gesamten Unternehmen regeln.

KI-Risiken

Halluzinationen – Es ist bekannt, dass KI Fragen mit erfundenen Informationen beantwortet.

Voreingenommenheit – KI verwendet historische Informationen, um neue Inhalte zu erstellen. Das Problem ist, dass das, was in der Vergangenheit akzeptabel war, möglicherweise nicht den heutigen Standards entspricht.

Datenschutz und -sicherheit – KI erfasst alles, was Sie in die Eingabeaufforderung eingeben, und integriert es in das Modell. Achten Sie darauf, welche Informationen Sie mit nicht-proprietären Modellen wie ChatGPT teilen.

Modelldrift – Die Leistung eines KI-Modells nimmt im Laufe der Zeit ab, wenn sich die Bedingungen ändern.

Legen Sie Ihre Leitplanken fest

Sie haben möglicherweise bereits eine starke Grundlage in den Bereichen Enterprise Risk, Compliance und Audit. Und das ist der ideale Ausgangspunkt für die KI-Governance. Tatsächlich warnt die Expertin für operationelles Risiko und häufige Risk@Work-Gastautorin Dr. Ariane Chapelle davor, ein separates Governance-Framework für das Risiko künstlicher Intelligenz zu schaffen. „Integrieren Sie KI in Ihr ERM-Framework. Versuchen Sie nach Kräften, für alle Ihre Risiken das gleiche Framework zu verwenden“, sagt sie.

Hier sind fünf Möglichkeiten, um KI-Governance in Ihr aktuelles GRC-Programm zu integrieren.

1. Erweitern Sie die Risiko- und Compliance-Programme, um KI-spezifische Herausforderungen einzubeziehen. Ihre Enterprise Risk-, Compliance- und Audit-Programme können erweitert werden, um KI-Risiken wie Modelldrift, algorithmische Verzerrung, Erklärbarkeitslücken und sich schnell entwickelnde regulatorische Anforderungen zu steuern. Ziel ist es, bestehende Frameworks weiterzuentwickeln, nicht sie zu ersetzen.

2. Verankern Sie die Governance über den gesamten KI-Lebenszyklus hinweg. Die KI-Aufsicht sollte in jede Phase des Lebenszyklus integriert werden, von der Modellentwicklung und -bereitstellung bis hin zum laufenden Betrieb. Dazu gehört die Integration von Risikokontrollen, Validierungsprüfpunkten und Dokumentationsstandards von Anfang an, mit Mechanismen zur Überwachung der Leistung und Compliance im Laufe der Zeit.

3. Wechseln Sie von periodischen Überprüfungen zu kontinuierlicher Aufsicht. KI-Systeme passen sich in Echtzeit an, und die Aufsicht muss Schritt halten. Ihre Governance-Praktiken müssen die laufende Bewertung durch Risikosprints, Echtzeitüberwachung, Leistungsalarme und andere Mechanismen unterstützen. Dies ermöglicht es den Teams, Probleme zu erkennen und zu beheben, bevor sie zu Geschäftsrisiken werden.

4. Definieren Sie die Verantwortlichkeit über alle Verteidigungslinien hinweg. KI-Governance funktioniert am besten, wenn die Verantwortlichkeiten klar zwischen den Rechts-, Compliance-, Audit-, Data-Science- und Business-Teams definiert sind. Die Integration der Governance in bestehende Funktionen fördert Eigenverantwortung, Konsistenz und die Ausrichtung auf die Enterprise-Risk-Strategien.

5. Demonstrieren Sie, dass Sie die Kontrolle über KI haben. Aufsichtsbehörden, Kunden und Vorstände wollen Beweise dafür, dass KI verantwortungsvoll eingesetzt wird. Der Nachweis der Kontrolle bedeutet mehr als die Dokumentation von Richtlinien – er erfordert Echtzeit-Transparenz, Rückverfolgbarkeit und die Fähigkeit, zu zeigen, dass KI-Systeme wie vorgesehen funktionieren. Unternehmen, die nachweisen können, dass sie die Kontrolle über ihre KI haben, sind besser positioniert, um Vertrauen zu gewinnen, Risiken zu reduzieren und die Akzeptanz zu beschleunigen.

Laut einer aktuellen Riskonnect-Umfrage haben 80 % der Unternehmen keinen speziellen Plan zur Bewältigung generativer KI-Risiken.

Warten Sie nicht

Die Aufsichtsbehörden ergreifen bereits Maßnahmen, um sicherzustellen, dass KI sicher eingesetzt wird. Der EU AI Act beispielsweise verpflichtet jedes Unternehmen, das innerhalb der Europäischen Union tätig ist, bestimmte Regeln einzuhalten, um sicherzustellen, dass der Einsatz von KI verantwortungsvoll, offen und transparent erfolgt. Die Verordnung kategorisiert die Nutzung nach dem Schadenspotenzial und verbietet bestimmte Nutzungen von KI als unvertretbar gefährlich. Die Strafen für Nichteinhaltung sind hoch.

Wichtige globale KI-Vorschriften

ISO 42001 AI Management Systems hilft Unternehmen, Produkte oder Dienstleistungen, die KI nutzen, verantwortungsvoll zu nutzen, zu entwickeln, zu überwachen oder bereitzustellen.

EU Artificial Intelligence Act reguliert KI-Systeme auf der Grundlage potenzieller Risiken und der Auswirkungen auf die Gesellschaft.

NIST Trustworthy and Responsible AI NIST AI 600-1 ist eine freiwillige Richtlinie, die Unternehmen helfen soll, Risiken im Zusammenhang mit KI-Systemen zu identifizieren, zu bewerten und zu mindern.

Die Vermeidung von Geldstrafen ist sicherlich ein überzeugender Grund für die Einführung einer KI-Governance. Aber der Nachweis der Compliance gegenüber den Aufsichtsbehörden ist nur ein Faktor. Bedenken Sie die Auswirkungen, wenn Sie eine wichtige strategische Entscheidung auf der Grundlage unentdeckter halluzinierter Daten treffen. Was würde mit Ihrer Wettbewerbsposition geschehen, wenn ein Mitarbeiter Geschäftsgeheimnisse in ChatGPT hochladen würde, um schneller eine Präsentation zu schreiben?

Das bloße Abhaken des Compliance-Kästchens schützt Sie nicht. Es müssen Leitplanken in Bezug auf Datenschutz, Sicherheit und Ethik errichtet werden, um die Kultur, die Erwartungen und die Standards des Unternehmens aufrechtzuerhalten. Entwickeln Sie Ihr GRC-Programm weiter, um diese Leitplanken zu berücksichtigen. Und nutzen Sie technologische Tools, um Erwartungen einfach und konsistent zu kommunizieren, Richtlinien anzuwenden, Maßnahmen zu überwachen und Kennzahlen zu verfolgen.

KI-Governance kann nicht innerhalb einer einzelnen Person oder Abteilung angesiedelt sein. Sie ist eine kollektive Verantwortung, bei der jeder Beteiligte der Rechenschaftspflicht Priorität einräumt und sicherstellt, dass KI-Systeme verantwortungsvoll und transparent im gesamten Unternehmen eingesetzt werden. Ein robustes KI-Governance-Programm wird Ihnen helfen, das richtige Gleichgewicht zwischen der Minimierung von Risiken und der Förderung von Innovationen zu finden – und gleichzeitig weiterhin von allen Vorteilen zu profitieren, die KI mit sich bringt.

Für weitere Informationen zum Aufbau eines starken GRC-Programms laden Sie das E-Book Governance, Risk, and Compliance: The Definitive Guide herunter und informieren Sie sich über die Riskonnect’s AI Governance software-Lösung.