Heutzutage wird jeder mit Nachrichten und Artikeln über Künstliche Intelligenz (KI) überflutet. Firmeninhaber, Teilhaber, Verwaltungsratsmitglied, IT, Qualitäts-, Risiko-, Compliance- oder auch Datenschutzmanager sind vielleicht unschlüssig, wie sie damit umgehen sollen. Aus wirtschaftlicher Sicht sollten Führungskräfte evaluieren, wie sie Künstliche Intelligenz (KI) gewinnbringend und zum Vorteil des Unternehmens einsetzen können, wie KI die Erreichung strategischer Ziele unterstützen kann. Dieser Aspekt steht nicht im Fokus dieses Artikels.
Im Mittelpunkt steht die Frage, wie KI in die Corporate Governance, in das Interne Kontrollsystem (IKS), integriert werden kann. Wie ist die KI-Sicherheit kontrolliert zu gewährleisten? Natürlich besteht bei manchen Punkten auch ein Zusammenhang zu den wirtschaftlichen Aspekten der KI-Anwendung.
KI ist unkontrollierbar
Um es kurz zu machen: Der Geist ist aus der Flasche. KI-Compliance und KI-Sicherheit waren nie vollständig kontrollierbar und werden es auch nie sein. Je mehr Systeme «intelligent» und vernetzt werden, desto unkontrollierbarer werden sie. Das hat die KI mit den menschlichen Akteuren und allen anderen Lebewesen gemeinsam.
Aber gehen wir erst einen Schritt zurück. Gibt es Künstliche Intelligenz oder handelt es sich noch um «Machine Learning»? Verwendet man die Definition, dass Intelligenz eigene Ideen entwickelt, Entscheidungen trifft und ihre eigenen Werte und ihre eigene Ethik interpretiert, kann sie nicht kontrolliert werden. Von diesem Punkt sind wir (weit) entfernt. Während das maschinelle Lernen, wie wir es heute haben, noch einigermassen kontrollierbar ist, wird dies bei der künftigen echten KI nicht der Fall sein. Aufgrund der zunehmenden Komplexität von Systemen und Datenmengen ist dies eine Illusion, von der wir uns verabschieden müssen.
Regeln werden notwendig
Wer anders denkt, glaubt, dass KI nur gute Entscheidungen treffen wird. Da alles miteinander verbunden ist, kann das nicht stimmen, denn hier kommt die Ethik ins Spiel. Um es besser zu machen, müsste die KI beispielsweise in der Lage sein, die Verzerrungen in den Daten, aus denen sie lernt, zu erkennen. Aber das tut sie nicht. Der Mensch muss eingreifen, um dies zu korrigieren. Zum Beispiel übernimmt KI die Vorurteile, die in den Texten, aus denen sie lernt, enthalten sind. Jetzt sind Anpassungen noch teilweise möglich. Wird es das in Zukunft auch sein?
Man hat auch nie die volle Kontrolle über Lebewesen (Bürger, Kinder, Angestellte, Kunden, Hunde usw.), aber es werden Regeln aufgestellt und Grenzen gesetzt, an die sie sich halten sollten, damit die Interaktion untereinander funktioniert. Der gleiche Ansatz muss auch für die KI gewählt werden in einem Unternehmen.
Chat-GPT über KI
Da es in diesem Artikel aber um KI geht, haben wir Chat-GPT gebeten, selbst ein Statement zu schreiben, das auf den folgenden Parametern basiert: «Erstelle einen Text mit 50 Wörtern, ob KI-Risiken und Compliance kontrollierbar sind.» Und die Antwort: «Die Kontrollierbarkeit von KI-Risiken und Compliance ist ein umstrittenes Thema. Obwohl es Technologien wie Explainable AI gibt, die helfen können, Entscheidungen von KI-Systemen nachvollziehbarer zu machen, bleibt die Vorhersagbarkeit von KI-Systemen eine Herausforderung. Compliance-Regulierungen können helfen, bestimmte Risiken zu minimieren, aber die Schnelligkeit, mit der sich die Technologie entwickelt, macht es schwierig, mit der Gesetzgebung Schritt zu halten.» Also selbst die KI ist nicht überzeugt von der Kontrollierbarkeit. Zumal sie sich auch nicht an die Vorgabe von 50 Wörtern gehalten hat und 58 Wörter abgeliefert hat.
Konsequenzen
Menschen erwarten auf die Herausforderungen, vor denen sie stehen, eine einfache, geradlinige Antwort. In diesem Fall gibt es keine. Die gute Nachricht ist, vieles von dem, was zur Bewältigung der KI-Herausforderung benötigt wird, ist aus Sicht eines Unternehmens bereits vorhanden, beziehungsweise sollte vorhanden sein. Einige Aspekte müssen geändert, einige verbessert und einige hinzugefügt werden, wenn sie fehlen. Kurz zusammengefasst: Das interne Kontrollsystem (IKS) und das Risikomanagement müssen erweitert werden.
Zwei Kontrollkategorien
Es gibt zwei Kategorien von Kontrollen, wenn es um KI geht:
- die Kontrollen, die zu implementieren sind, wenn Unternehmen KI einsetzen, und
- die Kontrollen, die erforderlich sind, wenn KI entwickelt oder verbessert werden soll.
Dabei wird es Kontrollen geben, die für beide Kategorien relevant sind. Die Abbildung zeigt einen Überblick darüber, welche Bereiche für die Festlegung der Kontrollsets wichtig sind und welche Aspekte berücksichtigt werden sollten.
Wie schon bei der Einführung Datenschutz-Grundverordnung (DSGVO) zahlt es sich aus, eine gute Corporate Governance und ein funktionierendes internes Kontrollsystem zu haben. Es empfiehlt sich, ein Projekt oder eine Initiative zu starten, die die erwähnten Aspekte analysieren, Empfehlungen und Massnahmen definieren.
