SOX wurde für Menschen entwickelt. KI passt nicht in dieses Modell.
Über zwei Jahrzehnte basierten Prüfungs- und Compliance-Rahmenwerke auf einer einfachen Annahme: Materielle Entscheidungen werden von Menschen getroffen. Die Rücksetzung der Assurance nach dem Sarbanes-Oxley-Gesetz (SOX) funktionierte, weil sie die Verantwortung mit dem menschlichen Verhalten in Einklang brachte. Diese Annahme prägt, wie interne Kontrollen gestaltet, wie Verantwortung zugewiesen und wie Assurance bereitgestellt wird.
Die Herausforderung durch Künstliche Intelligenz
Kontrollen umgeben menschliches Urteilsvermögen. Dokumentationen erklären menschliche Überlegungen. Eskalationsmechanismen gehen davon aus, dass eine bestimmte Person oder Rolle identifiziert, befragt und zur Verantwortung gezogen werden kann, wenn Entscheidungen in Frage gestellt werden. Künstliche Intelligenz (KI) stört dieses Modell langsam, nicht indem sie Kontrollen eliminiert, sondern indem sie nicht-menschliches Urteilsvermögen in Kontrollumgebungen einführt, während das Governance-Design deutlich hinterherhinkt.
Ein Designansatz, der nicht überdacht wurde
Die Rücksetzung der Assurance nach dem SOX funktionierte, weil sie Verantwortung mit menschlichem Verhalten in Einklang brachte. Managementbehauptungen, Kontroll-Dokumentationen, Audit-Traces und Remedierungsprozesse gingen alle davon aus, dass Entscheidungen von identifizierbaren Betreibern innerhalb definierter Rollen stammten. Diese SOX-Designannahme hielt, obwohl die nachfolgenden Krisen auftraten, da letztendlich das Urteilsvermögen menschlich blieb, selbst wenn es fehlerhaft war.
Die Verschiebung der Entscheidungsfindung
Da automatisierte Systeme zunehmend Prognosen, Analysen, Transaktionsgenehmigungen und Vertragsinterpretationen beeinflussen, residiert das Urteilsvermögen nicht mehr ausschließlich bei den Menschen. Es ist in Trainingsdaten, Modelllogik, Schwellenwerten und Ausnahmebehandlungen eingebettet, oft lange bevor Compliance- oder Audit-Funktionen aktiviert werden. Der Kontrollrahmen bleibt jedoch weitgehend unverändert.
Die Spannungen im Compliance- und Audit-Bereich
In vielen Organisationen werden KI-Systeme als Effizienzwerkzeuge und nicht als Governance-Entscheidungen eingeführt. Geschwindigkeit, Konsistenz und Skalierung haben Vorrang. Kontrollen werden nach der Bereitstellung bewertet. Assurance wird im Nachhinein erwartet. Compliance- und Audit-Teams werden gebeten, Ergebnisse zu validieren, ohne Sichtbarkeit über das Urteilsvermögen, das in den Systemen eingebettet ist, zu haben. Die Kontrolle bestätigt die Ausführung, aber die Erklärung wird schwieriger. Wenn Fragen während interner Überprüfungen, regulatorischer Anfragen oder Vorstandsdiskussionen aufkommen, wird das Problem selten als ein Designproblem des Systems betrachtet. Es hat sich zu einem Verantwortungsproblem entwickelt. Wer besitzt die Entscheidung, wenn keine einzelne Person sie getroffen hat?
Risiken und neue Herausforderungen
Diese Spannungen spiegeln keinen Fehler von SOX wider, sondern sind eine Reflexion seiner Designgrenzen. SOX-Ära-Kontrollen setzen menschliche Entscheidungsträger, erklärbares Denken und rollenbasierte Verantwortung voraus. KI führt zu Entscheidungsfindungen, die verteilt, adaptiv und schwer in menschlichen Begriffen zu interpretieren sind. Solange Governance-Rahmen nicht parallel zur Bereitstellung weiterentwickelt werden, riskieren Organisationen, Kontrollumgebungen zu betreiben, die robust erscheinen, aber keine Sichtbarkeit darüber haben, wie Entscheidungen getroffen werden. In diesem Szenario erben Compliance- und Audit-Funktionen Verantwortung ohne Autorität und werden für Ergebnisse verantwortlich gemacht, die durch Logik geprägt sind, die sie nicht vollständig hinterfragen können.
Fazit
Das Risiko liegt nicht in der Automatisierung selbst, sondern darin, dass Urteilsvermögen in KI-Modelle wandert, während die Governance-Annahmen an menschlichen Entscheidungsmodellen festhalten. Frühere Assurance-Rücksetzungen wurden durch Vertrauenskrisen ausgelöst, wenn bestehende Rahmenwerke nicht mehr erklären konnten, wie Entscheidungen getroffen oder unter Druck verteidigt wurden. KI hat noch keine entscheidende Krise hervorgebracht, aber die Bedingungen, die Verantwortung, Erklärbarkeit und Eigentum in Frage stellen, sind bereits gegeben. Für Führungskräfte in Compliance, Risiko und Audit stellt sich die Frage nicht mehr, ob KI expandieren wird. Vielmehr ist die dringlichere Frage, ob die Governance-Annahmen überdacht werden, bevor sie getestet werden.
Wenn Assurance-Rahmen nicht erklären können, wie Entscheidungen getroffen werden, können sie diese nicht verteidigen. Und wenn Vertrauen in Frage gestellt wird, ist es die Erklärung und nicht die Effizienz, die letztendlich zählt.
