Die Welt ist in technologischer Hinsicht in den letzten Jahren exponentiell gewachsen und hat unser Leben in vielerlei Hinsicht verändert. Ein Bereich, der dabei besonders hervorsticht, ist die Künstliche Intelligenz (KI). Während KI viele Vorteile bietet, bringt sie auch neue Herausforderungen mit sich, insbesondere im Bereich der Überwachung und Kontrolle. Hier kommt die Interne Revision ins Spiel.
Einfache Nutzung von KI-Algorithmen
In der modernen Geschäftswelt sind KI-Tools und -Algorithmen nicht nur leistungsstark, sondern auch leicht zugänglich. OpenAI und andere Anbieter stellen ihre KI-Tools sogar teilweise gratis zur Verfügung. Durch die benutzerfreundliche Anwendungs-Oberfläche und Cloud-Technologie können Fachabteilungen KI-Lösungen einfach online abonnieren und ohne die direkte Einbindung der IT-Abteilung in Betrieb nehmen. Diese Unabhängigkeit und Geschwindigkeit haben jedoch auch ihre Schattenseiten.
AGB und Eigentumsrechte
Bevor Organisationen sich für ein KI-Tool entscheiden, müssen die Allgemeinen Geschäftsbedingungen (AGB) genau geprüft werden. Ein Schwerpunkt dabei ist die Klärung, wem die von der KI produzierten Ergebnisse gehören und wie diese vom Unternehmen verwendet werden dürfen. Gerade für Bilder, Logos und Programm-Code müssen die Nutzungsbedingungen genau geprüft werden. Ein unklarer Status oder eine nicht-autorisierte Verwendung könnten zu rechtlichen Auseinandersetzungen und Verlusten für das Unternehmen führen.
Schutz von Betriebsgeheimnissen
Eines der wertvollsten Assets eines Unternehmens sind seine Daten, Produktionsanleitungen und Erfahrungen. Viele dieser Informationen sind Betriebsgeheimnisse, die einen Wettbewerbsvorteil darstellen und nicht mit anderen Organisationen geteilt werden sollten. Es stellt sich daher die Frage: Wie können Unternehmen sicherstellen, dass diese Daten geschützt bleiben, wenn einzelne Personen KI-Tools verwenden? Denn viele der Daten, die in KI-Tools eingespeist werden, beinhalten sensible Informationen und Betriebsgeheimnisse.
Die Wahl eines KI-Anbieters sollte daher nicht nur auf den Funktionalitäten seiner Tools basieren, sondern auch auf den Speicherorten und Verwendung der übermittelten Daten sowie den Sicherheitsprotokollen und -standards. Es gehört zu den Aufgaben der Internen Revision, die Datenintegrität und -sicherheit regelmäßig zu hinterfragen und zu überprüfen, ob interne Richtlinien verlässlich von der Belegschaft eingehalten werden.
Ergebnisse einer KI
Ein weiteres Phänomen im Umgang mit KI-Tools ist das sogenannte ‚Halluzinieren‘. Obwohl ein KI-Modell mathematisch korrekte Ergebnisse liefert, bedeutet das nicht zwangsläufig, dass diese Ergebnisse im konkreten Unternehmenskontext sinnvoll oder angemessen sind. Die KI kann Datenmuster erkennen und diese in einem spezifischen mathematischen Rahmen interpretieren, jedoch kann sie den gesamten Kontext oder die Nuancen einer Geschäftssituation nicht vollständig erfassen. Dies kann dazu führen, dass die KI Schlussfolgerungen zieht oder Empfehlungen gibt, die in der realen Geschäftswelt fehl am Platz oder sogar kontraproduktiv sind. Es ist daher von zentraler Bedeutung, die Ergebnisse von KI-Tools stets kritisch zu hinterfragen und sie in Bezug auf den gesamten Geschäftskontext zu bewerten.
KI Gesetze
Beim globalen Einsatz von KI ist die Beachtung regionaler Gesetze und Vorschriften unerlässlich. Prominente Beispiele dafür sind der angekündigte AI Act in der Europäischen Union oder das KI Gesetz in China, die beide klare Rahmenbedingungen für den KI-Einsatz vorgeben, aber nicht deckungsgleich sind. Weitere Gesetze werden in den nächsten Jahren verabschiedet und machen eine kontinuierliche Anpassung und Überprüfung in Hinblick auf lokale Regelungen zwingend notwendig.
Rolle der Internen Revisoren
Interne Revisor:innen unterstützen die Geschäftsführung dabei sicherzustellen, dass die IT-Systeme und Prozesse eines Unternehmens ordnungsgemäß funktionieren. In Bezug auf die KI-Algorithmen können sie prüfen, ob:
- Der Algorithmus wie vorgesehen funktioniert und die Ergebnisse wie gewünscht verwendet werden dürfen.
- Die Ergebnisse des Algorithmus nachvollziehbar und erklärbar sind.
- Es keine unbeabsichtigten oder verborgenen Voreingenommenheiten bzw. Vorurteile bei der Verarbeitung durch die KI-Tools gibt.
- Die Daten, die in den Algorithmus eingespeist werden, korrekt und relevant sind sowie gemäß den internen Vorgaben der Datenintegrität verwendet werden.
- Die Verwendung von personenbezogenen Daten gemäß den gesetzlichen Vorgaben und der DSGVO sichergestellt ist.
- Die Gesetze für den jeweiligen Einsatzbereich der KI erfüllt werden.
- Die Verträge und AGBs mit der Strategie und den Anforderungen des Unternehmens übereinstimmen.
- Das Personal, das mit den KI-Tools arbeitet, ausreichend in Bezug auf die Tätigkeiten und die spezifischen Risiken geschult ist und die Kriterien kennt, nach denen in die Automatisierung eingegriffen werden muss.
Herausforderungen und Lösungen
Die Komplexität bei der Prüfung und Überwachung von KI-Tools wird durch deren oft mangelnde Transparenz noch verstärkt. Es erfordert häufig intensive Recherche, um die Architektur und Datenverarbeitungsmechanismen solcher Systeme vollständig zu durchdringen. Die Überprüfung von KI gestaltet sich dementsprechend herausfordernd, da Modelle und Algorithmen zumeist undurchschaubar und kompliziert konzipiert sind. Einige Ansätze zur Bewältigung dieser Herausforderungen sind:
- Schulung und kontinuierliche Weiterbildung: Es ist unerlässlich, dass Interne Revisor:innen in den neuesten Technologien und Praktiken, die das Unternehmen einsetzt, geschult sind.
- Zusammenarbeit mit Data Scientists: Ein enger Dialog mit Expert:innen, die Algorithmen einsetzen und weiterentwickeln, kann viele Fragen klären.
- Verwendung von Überwachungstools: Es gibt Softwarelösungen, die speziell entwickelt wurden, um KI-Algorithmen zu überwachen und zu analysieren.
- Konsultation von externen Expert:innen: In einigen Fällen wird es notwendig sein, mit KI Spezialist:innen, Rechtsanwält:innen oder Ethiker:innn gemeinsam den gesetzeskonformen Einsatz eines KI Tools zu bewerten.
Fazit
In einer Welt in der KI immer häufiger eingesetzt wird ist die Rolle der Internen Revision entscheidender denn je. Durch ihre Tätigkeit werden die Abläufe im Unternehmen sicherer und besser.
Teil davon ist die Prüfung, ob die Algorithmen ordnungsgemäß funktionieren und dass sie ethisch korrekt und unvoreingenommen arbeiten. Darüber hinaus müssen Datenintegrität und -sicherheit ständig überwacht werden.
Das Institut für Interne Revision setzt sich dafür ein, diesen hohen Standard aufrechtzuerhalten und bietet daher Schulungen für die Ausbildung von Internen Revisor:inn an.