Die Interne Revision muss auf AI-Compliance-Risiken achten

Roboterarm-Waage-menschlicher-Arm

In den letzten Jahren gab es eine anhaltende Debatte darüber, ob künstliche Intelligenz (KI) Risiken oder Chancen für den Berufsstand der Internen Revision mit sich bringen wird. Ich vertrete den Standpunkt, dass sie beides bieten wird.

Wenn wir uns hauptsächlich im Nachhinein engagieren und unsere Energie auf taktische Prüfungsaufträge konzentrieren, wie z. B. die Prüfung der internen Kontrollen der Finanzberichterstattung, laufen wir Gefahr, von der KI verdrängt zu werden. Wenn wir uns jedoch auf strategische/geschäftliche Risiken und andere Aufträge konzentrieren, die professionelles (menschliches) Urteilsvermögen erfordern, haben wir die Möglichkeit, KI zu nutzen, anstatt sie zu fürchten.

Ich habe auch argumentiert, dass interne Revisor:innen eine wichtige Rolle bei der Gewährleistung der Wirksamkeit der KI-Governance und Compliance spielen werden. Die jüngsten Entwicklungen bestätigen, dass KI-Compliance-Risiken schneller entstehen, als viele von uns erwartet haben.

Anfang dieses Monats nahm das EU-Parlament den Entwurf eines Verhandlungsmandats für das Gesetz über künstliche Intelligenz an, das als „das erste Gesetz einer großen Regulierungsbehörde zum Thema KI“ bezeichnet wird. Laut einer speziellen Website über die neue Gesetzgebung:

„Das Gesetz ordnet Anwendungen der KI drei Risikokategorien zu. Erstens sind Anwendungen und Systeme, die ein inakzeptables Risiko darstellen, wie z. B. ein staatlich betriebenes soziales Scoring, verboten. Zweitens unterliegen Anwendungen mit hohem Risiko, wie z. B. ein Tool zum Scannen von Lebensläufen, das eine Rangfolge von Bewerbern erstellt, besonderen rechtlichen Anforderungen. Anwendungen, die nicht ausdrücklich verboten oder als risikoreich eingestuft sind, bleiben weitgehend unreguliert.“

Auf der Website wird eine Reihe von Bedenken gegen die neuen Rechtsvorschriften geäußert:

„Der Gesetzentwurf enthält mehrere Schlupflöcher und Ausnahmen. Diese Unzulänglichkeiten schränken die Fähigkeit des Gesetzes ein, dafür zu sorgen, dass KI eine Kraft des Guten in Ihrem Leben bleibt. Derzeit ist zum Beispiel die Gesichtserkennung durch die Polizei verboten, es sei denn, die Bilder werden mit einer Verzögerung aufgenommen oder die Technologie wird zur Suche nach vermissten Kindern eingesetzt.“

Darüber hinaus ist das Gesetz unflexibel. Wenn in zwei Jahren eine gefährliche KI-Anwendung in einem unvorhergesehenen Bereich eingesetzt wird, sieht das Gesetz keinen Mechanismus vor, um sie als „hochriskant“ zu bezeichnen.

Ungeachtet dieser Bedenken signalisiert das neue Gesetz ein verschärftes regulatorisches Umfeld für KI, das sich mit Warp-Geschwindigkeit nähert. Wie ein Autor der Gesetzgebung bemerkte:

„Wir stehen kurz davor, bahnbrechende Rechtsvorschriften zu erlassen, die den Herausforderungen der Zeit standhalten müssen. Es ist von entscheidender Bedeutung, das Vertrauen der Bürger:innen in die Entwicklung der KI zu stärken, den europäischen Weg für den Umgang mit den außerordentlichen Veränderungen, die bereits stattfinden, vorzugeben und die politische Debatte über KI auf globaler Ebene zu lenken.“

Während in Europa die Gesetzgebung zur künstlichen Intelligenz voranschreitet, kommt die Debatte in den USA gerade in Fahrt. In einem kürzlich erschienenen Artikel des Wall Street Journal heißt es: „Die wachsende Besorgnis im Kongress über die Risiken, die von leistungsstarken Werkzeugen der künstlichen Intelligenz in den Händen der Verbraucher ausgehen, gibt einer schon lange schwelenden Idee Auftrieb: Die Einrichtung einer Bundesbehörde zur Regulierung von Technologieplattformen einschließlich KI-Systemen.“

Das Wall Street Journal stellt fest, dass die Einrichtung einer KI-Regulierungsbehörde „eine von vielen Ideen ist, die in Washington diskutiert werden, während sich die Gesetzgeber mit einer neuen Technologie auseinandersetzen, die über menschenähnliche Fähigkeiten verfügt, um eine Reihe von Aufgaben zu erledigen“. Eine Sache ist sicher: Das Thema KI-Regulierung ist noch nicht vom Tisch, und wenn wir unseren Unternehmen helfen wollen, die Risiken der Zukunft zu bewältigen, sollten wir uns lieber früher als später mit den Aussagen und Maßnahmen der Gesetzgeber und Regulierungsbehörden befassen.

Die Dynamik bei der Gesetzgebung und Regulierung der künstlichen Intelligenz ist nicht auf Europa und die USA beschränkt. In einem aktuellen Bericht des Weltwirtschaftsforums über globale KI-Trends heißt es, dass seit 2016 weltweit 123 Gesetze mit KI-Bezug verabschiedet wurden – 37 allein im Jahr 2022. Weitere Beispiele auf der ganzen Welt sind ein Gesetzentwurf auf den Philippinen, der sich mit Bildungsreformen befasst, um den durch neue Technologien, einschließlich KI, verursachten Herausforderungen zu begegnen, und ein Gesetzentwurf in Spanien, der sich auf Nichtdiskriminierung und Rechenschaftspflicht bei KI-Algorithmen konzentriert.

In Anlehnung an andere regulatorische Tsunamis des 21. Jahrhunderts empfehle ich einen dreistufigen Prozess für interne Revisor:innen, die sich mit den drohenden KI-Vorschriften auseinandersetzen:

Phase 1: Bewusstseinsbildung. In dieser Phase sollten wir uns bereits befinden. Wir sollten die Fortschritte in der Gesetzgebung und bei den Rechtsvorschriften aktiv verfolgen, unsere Organisationen dazu ermutigen, sich an den vorgeschlagenen Initiativen zu beteiligen, wo dies möglich ist, und aufkommende Risiken identifizieren.

Phase 2: Sicherstellung der Einsatzbereitschaft. Nach der Verabschiedung von Gesetzen werden natürlich die entsprechenden Verordnungen ausgearbeitet. Sobald diese Vorschriften genehmigt sind, beginnt der Countdown für die Umsetzung. In dieser Zeit hat die Interne Revision die Möglichkeit, die Bereitschaft der Organisation zur Einhaltung der Vorschriften zu bewerten und der Geschäftsleitung und dem Vorstand gegenüber zu versichern. Wie wir im Vorfeld der Umsetzung von Sarbanes-Oxley in den USA und GDPR in Europa gesehen haben, ist dies ein entscheidender Zeitraum, in dem die Interne Revision einen erheblichen Mehrwert schaffen kann, indem sie vor drohenden Compliance-Risiken warnt.

Phase 3: Überprüfung der Einhaltung der KI-Vorschriften. Sobald die Umsetzung der Vorschriften ansteht, müssen die Internen Revisor:innen in den Modus der Compliance-Sicherung wechseln. Die Nichteinhaltung neuer Gesetze und Vorschriften kann für unsere Unternehmen rechtliche, finanzielle und reputationsbezogene Risiken mit sich bringen. Es ist zwingend erforderlich, dass wir die Einhaltung der Vorschriften sorgfältig prüfen und dem Aufsichtsrat und dem Vorstand Sicherheit geben.

Wir stehen bei der Gesetzgebung und Regulierung von KI noch ganz am Anfang, und die Risiken und Chancen, die mit dieser unglaublichen Technologie verbunden sind, entwickeln sich ständig weiter. Aber es ist nicht zu früh, um aufzustehen und unseren Organisationen als Leuchtturm für die unzähligen Compliance-Probleme zu dienen, die vor uns liegen könnten.

Ich hoffe, dass diese Vorschläge für Sie hilfreich sind, wenn Sie sich mit den Risiken der KI-Einhaltung auseinandersetzen.

Dieser Fachartikel wurde von Richard Chambers auf www.auditbeacon.com im Mai 2023 veröffentlicht. Wir bedanken uns für die Erlaubnis, diesen Beitrag als deutsche Übersetzung veröffentlichen zu dürfen.

Sie können Ihre Ansichten auch an Richard Chambers direkt richten:  blogs@richardchambers.com.

(c) 2023 Richard F Chambers. .

Über den Autor

linkedin