Nachdem künstliche Intelligenz (KI) jahrzehntelang weitgehend im Reich der Science-Fiction zu existieren schien, ist sie 2022 mit der Einführung von generativen KI-Tools wie ChatGPT und Dall.E. in das Bewusstsein der Unternehmen gerückt. Die unmittelbare Experimentierfreudigkeit vieler Menschen machte sowohl das immense Potenzial als auch die derzeitigen Grenzen solcher Instrumente deutlich.

Zwei Jahre später erforschen Unternehmen nun die realistischen Anwendungen von KI in ihren eigenen Betrieben. In dieser wichtigen Phase müssen die Vorstände mit dem sich schnell ändernden Zeitgeist Schritt halten, wenn sie den Hype durchschauen und ihren Unternehmen helfen wollen, die Vorteile der KI sicher zu nutzen, ohne den Risiken zum Opfer zu fallen.

Hier sind vier Schlüsselbereiche, die Führegremien verstehen sollten:

1. KI weist inhärente Eigenschaften auf, die die Einführung und Regulierungsansätze erschweren

In einem kürzlich vom britischen Chartered Governance Institute geleiteten Webinar fasste Chris Burt, Principal bei Halex Consulting Ltd, die beiden Hauptmerkmale der KI zusammen, die sie leistungsfähig genug machen, um jahrzehntealte wissenschaftliche Herausforderungen zu lösen, aber auch gefährlich genug, um Risiken für Menschenrechte, Sicherheit, Fairness und Privatsphäre darzustellen.

Der erste ist ihre Anpassungsfähigkeit. Wenn die KI auf maschinellem Lernen basiert, kann es schwierig sein, die Logik oder Absicht der Ergebnisse des KI-Systems zu erklären. Zwar ist die Verarbeitungs- und Analyseleistung von KI der des Menschen weit überlegen, doch ihre übermenschliche Effizienz bedeutet, dass es nicht immer einfach ist, die von einer KI erzeugten Ergebnisse zu analysieren und die zugrundeliegende Argumentationskette zu verstehen. Dies wird manchmal als "Blackbox-Problem" bezeichnet und kann das Vertrauen in KI-gestützte Entscheidungen untergraben.

Die zweite Herausforderung ist die Autonomie der KI, die es schwierig macht, die Verantwortung für die Handlungen des Systems zuzuweisen.

Diese inhärenten KI-Merkmale sowie die inhärente Grenzenlosigkeit von Technologielösungen stellen Unternehmen und Regulierungsbehörden vor Herausforderungen. Wie Burt es treffend ausgedrückt hat: „Adaptivität plus Autonomie ist gleich Komplexität“.

Bislang herrscht weitgehende Einigkeit darüber, dass der Einsatz von KI reguliert werden sollte, aber nur wenig Einigkeit darüber, wie dies geschehen soll.

Das Vereinigte Königreich plant derzeit keine neuen Vorschriften für KI, sondern entscheidet sich für einen prinzipienbasierten Ansatz, der sich auf Ergebnisse konzentriert und von den bestehenden Regulierungsbehörden überwacht wird. Ziel ist es, die Flexibilität zur Anpassung an den technologischen Wandel zu fördern. Die fünf wichtigsten Grundsätze sind:

1. Sicherheit, Schutz und Robustheit
2. Angemessene Transparenz und Erklärbarkeit
3. Fairness
4. Rechenschaftspflicht und Governance
5. Anfechtbarkeit und Rechtsmittel

In Europa wurde die EU-Verordnung über künstliche Intelligenz im März 2024 verabschiedet. Sie soll bis 2026 vollständig in Kraft treten. Sie legt unterschiedliche Regeln für verschiedene AI-Risikostufen fest und legt den Schwerpunkt auf Transparenzanforderungen.

Der US-Ansatz konzentriert sich derzeit eher auf die einzelnen Branchen, was jedoch die Gefahr birgt, dass es zu isolierten Regulierungsstrukturen kommt.

In diesem Stadium sollten sich die Führungsgremien bewusst sein, dass sich das regulatorische Umfeld weiterentwickelt, und sicherstellen, dass es in den relevanten Geschäftsbereichen ausreichend berücksichtigt wird.

2. Die Bewertung der Wettbewerbsfähigkeit von KI ist nicht einfach

Was die Führungsgremien wahrscheinlich gerne herausfinden möchten, ist ihre Wettbewerbsposition im Bereich KI. Dies ist jedoch nicht einfach. Der Hype um die Technologie bedeutet, dass viele Unternehmen „KI-gestützte“ Lösungen auf den Markt bringen, die u.U. einfachere Formen des maschinellen Lernens und der robotergestützten Prozessautomatisierung nutzen. Es gibt weniger Transparenz darüber, was Unternehmen tun, um KI in Geschäftsprozesse und strategische Planung zu integrieren, was bedeutet, dass es schwierig ist, direkte Vergleiche anzustellen. Darüber hinaus experimentieren viele Menschen in zahlreichen Geschäftssparten und bei Drittparteien mit Funktionen der künstlichen Intelligenz, was dazu führen kann, dass KI auf unkontrollierte Weise in Unternehmen eingeführt wird.

Führungsgremien sollten ihre Governance-Prozesse im Zusammenhang mit KI überprüfen, um potenzielle Risiken im Zusammenhang mit einer nicht genehmigten Nutzung zu vermeiden: „Haben wir Richtlinien für den Einsatz von KI? Haben wir KI in die Bewertung unserer Drittparteirisiken integriert? KI sollte in bestehende Rechts-, Sicherheits-, Risiko- und Compliance-Verfahren eingebettet sein und nicht separat betrachtet werden.“

Ashley Braganza von der Brunel University weist darauf hin, dass es mehrere Tools zur Selbstbewertung gibt, mit denen Unternehmen selbst einschätzen können, wo sie in Bezug auf die KI-Bereitschaft stehen. Er weist auch darauf hin, dass die Einführung von KI mit den gleichen Herausforderungen verbunden ist wie jede andere Technologie.

„Die eigentliche Technologieimplementierung ist oft der einfachste Teil. Viel schwieriger ist es, die Technologie strategisch zu nutzen, wenn man die Kultur, die Prozesse und die Struktur des Unternehmens verändern muss.“ — Ashley Braganza, Dekan, Brunel Business School

Burt vertritt bei der Beurteilung der Wettbewerbsfähigkeit von KI eine andere Perspektive und stellt die Frage, ob Unternehmen sich stärker darauf konzentrieren sollten, ob sie KI für ihr eigenes Geschäft auf die richtige Weise nutzen. Er weist darauf hin, dass „Unternehmen oft psychologische Sicherheit darin suchen, im Mittelfeld zu liegen“, und dass Benchmarking-Tools hier hilfreich sein können. Er glaubt jedoch, dass die größte Herausforderung für die meisten Organisationen die Qualität ihrer Daten ist. Ohne robuste Daten, auf denen KI für die Entwicklung eigener Anwendungsfälle trainiert werden kann, fehlt den Unternehmen die Grundlage, um sie wirklich zu nutzen. Die Vorstände sollten daher ihre Datenstrategie als integralen Bestandteil der KI-Strategie betrachten.

3. KI-Kenntnisse sind keine zwingende Voraussetzung für die Berufung in Führungsgremien – noch nicht

Die Zeiten sind vorbei, in denen Direktoren in erster Linie Erfahrungen im Finanzsektor haben mussten. Die Kompetenzen der Mitglieder von Führungsgremien sind inzwischen breiter gefächert und umfassen nun auch ESG und Cybersicherheit. Sollten Führungsgremien also nach Direktoren mit KI-Kenntnissen suchen?

Nicht unbedingt, oder vielleicht noch nicht. Es gibt keinen großen Pool an Führungskräften mit fortgeschrittener KI-Erfahrung in der Geschäftswelt – das Thema KI ist einfach zu neu. Ein realistischerer Ansatz könnte darin bestehen, dafür zu sorgen, dass die Führungsgremien Zugang zu Fachwissen haben und ihre Mitglieder regelmäßig geschult und über die Entwicklung des Sektors informiert werden.

Burt schlägt vor, dass die Führungsorgane bewährte Methoden der Strategieplanung anwenden, z. B. „Horizon Scanning“ und Szenarioanalysen, um damit zu bewerten, wie sich KI auf íhr Unternehmen auswirken kann. Dabei muss auch berücksichtigt werden, wie das Unternehmen mit ethischen Fragen umgehen will, z. B. der möglichen Voreingenommenheit der KI.

In Zukunft könnten die KI-Fähigkeiten von Mitgliedern den Führungsgremien dem Vorstand gute Dienste leisten, aber aufgrund ihrer Knappheit ist es wahrscheinlich kurzfristig schwer möglich, welche für Vorstand oder Aufsichtsrat zu finden.

4. KI birgt zusätzliche Risiken für die Cybersicherheit

Die Sicherheit von Daten und Systemen ist ein wichtiges Risiko, das die Führungsgremien aus zwei verschiedenen Perspektiven in das Risikomanagement einbeziehen sollten.

Erstens muss das Unternehmen sicherstellen, dass die Nutzung von KI verantwortungsvoll gehandhabt wird, um beispielsweise zu verhindern, dass Mitarbeiter sensible Unternehmensdaten in öffentliche KI-Tools wie ChatGPT hochladen. Die öffentliche Verfügbarkeit von KI-Anwendungen bedeutet für Unternehmen, dass Ihre Mitarbeiter KI bereits ohne Erlaubnis, Anleitung oder Schutz nutzen, die sogenannte „KI im Schatten“.

Zweitens muss sich das Unternehmen darüber im Klaren sein, dass bösartige Akteure ebenso geschickt KI-Tools einsetzen, um z. B. raffinierte Phishing-Kampagnen mit gefälschten Bild- und Toninformationen zu kreieren. Dadurch wächst das externe Cybersicherheitsrisiko, worauf entsprechend reagiert werden muss.

Es ist zweifellos eine Untertreibung, dass KI und ihre Regulierung ein sich schnell entwickelnder Bereich ist. Die Führungsgremien müssen sicherstellen, dass sie über das Wissen verfügen, das sie benötigen, um das Unternehmen so zu führen, dass es sich an die Risiken und Chancen, die das Feld der KI bietet, anpassen und diese nutzen kann.

Sehen Sie sich hier die Aufzeichnung des Webinars von CGI UK & I an.

Und wenn Sie mehr darüber erfahren möchten, wie Diligent eine dynamische GRC-Umgebung unterstützen kann, die mit dem Tempo der KI Schritt hält, besuchen Sie unsere Website.