Was Vorstände von KI verlangen sollten: Bewertung, Prüfung und Garantie
In einem vorherigen Artikel wurde argumentiert, dass die Governance von KI über die Aufsicht von Technologieprojekten hinausgeht und nun sicherstellen muss, dass KI-gestützte Entscheidungen innerhalb der Organisation mit der Strategie, der Risikobereitschaft und den ethischen Standards in Einklang stehen. Eine naheliegende Folgefrage für Vorstände ist: Wie kann eine Organisation überprüfen, ob ihre KI-Systeme tatsächlich wie beabsichtigt, verantwortungsvoll und innerhalb definierter Grenzen funktionieren?
Drei verwandte, aber unterschiedliche Konzepte
Es ist hilfreich, präzise darüber zu sein, was jeder Begriff bedeutet, da sie häufig austauschbar verwendet werden, obwohl sie es nicht sein sollten.
KI-Risikoanalyse ist der interne Prozess, durch den eine Organisation die mit ihren KI-Systemen verbundenen Risiken identifiziert, bewertet und priorisiert. Sie fragt, was schiefgehen könnte, wie wahrscheinlich das ist und welche Auswirkungen dies hätte. Dies ist die Grundlage, auf der alles andere aufbaut. Ohne eine glaubwürdige Risikoanalyse hat weder die Prüfung noch die Garantie eine sinnvolle Basis, auf der sie arbeiten können.
KI-Prüfung ist die unabhängige Untersuchung, ob ein KI-System oder der Governance-Rahmen, der es umgibt, definierten Standards, Richtlinien oder Anforderungen entspricht. Es handelt sich um einen evidenzbasierten Prozess, der von einer Partei durchgeführt wird, die ausreichend unabhängig von den Verantwortlichen für das System ist. Eine KI-Prüfung könnte bewerten, ob die KI-Managementpraktiken einer Organisation einem international anerkannten Standard entsprechen oder ob ein spezifisches Modell innerhalb genehmigter Parameter und ohne unbeabsichtigte Verzerrungen funktioniert.
KI-Garantie ist die formale, gegenüber den Stakeholdern gerichtete Schlussfolgerung, die aus diesem Prüfungsprozess hervorgeht. Es handelt sich um die professionelle Meinung, die von einer qualifizierten und unabhängigen Partei abgegeben wird und den Vorständen, Regulierungsbehörden, Investoren und der Öffentlichkeit Vertrauen gibt, dass ein KI-System oder ein KI-Managementrahmen einen definierten Standard erfüllt.
Implikationen für Vorstände
Drei praktische Implikationen ergeben sich aus diesem Rahmenwerk:
Erstens sollten Vorstände fragen, ob ihre Organisationen umfassende KI-Risikoanalysen für wesentliche Systeme durchgeführt haben. Dies sollte kein einmaliges Unterfangen sein, sondern ein fortlaufender Prozess, der aktualisiert wird, wenn Modelle neu trainiert werden, Anwendungsfälle sich erweitern und die regulatorische Umgebung sich verändert.
Zweitens sollten Vorstände zwischen interner und externer KI-Prüfung unterscheiden. Interne Prüfungsfunktionen spielen eine entscheidende Rolle bei der Gewährleistung, dass KI-Kontrollen wie vorgesehen funktionieren. Vorstände sollten jedoch auch in Betracht ziehen, ob eine unabhängige, externe Prüfung wesentlicher KI-Systeme erforderlich ist.
Drittens sollten Organisationen, die öffentlich Verpflichtungen bezüglich ihrer KI-Praktiken eingehen, sicherstellen, dass diese Verpflichtungen durch glaubwürdige Garantien untermauert werden. Behauptungen ohne unabhängige Validierung sind ein potenzielles Reputationsrisiko.
Fazit
Die Infrastruktur für KI-Garantien wird derzeit noch aufgebaut. Die professionellen Standards entwickeln sich weiter, und die Kompetenzen der Prüfer in den Bereichen KI, algorithmische Verzerrungen und Datenverwaltung sind noch nicht einheitlich entwickelt. Für Organisationen, die noch nicht bereit sind, formelle Garantien zu verfolgen, ist dies jedoch kein Grund, stillzustehen.
Ein strukturierter, regelmäßiger Bewertungsprozess wesentlicher KI-Systeme ist ein sinnvoller erster Schritt. Vorstände, die solche Bewertungen auch informell in Auftrag geben, entwickeln institutionelle Kompetenzen, die erforderlich sind, wenn regulatorische Anforderungen strenger werden.
