Wie man den Zugang von KI zu ERP- und Finanzsystemen steuert
Künstliche Intelligenz (KI) spielt eine zentrale Rolle in Finanzsystemen und trifft Entscheidungen mit einer Geschwindigkeit, die zuvor in ERP-Systemen streng verwaltet wurde. Ohne eine klare Governance, die den Zugang von KI und Co-Piloten zu kritischen Geschäftssystemen wie Oracle und SAP regelt, entstehen intransparente Datenflüsse, Verstöße gegen die Trennung von Aufgaben (SoD) und „Gespenst“-Maschinenidentitäten, die über Projekte und Personen hinaus bestehen.
Die Herausforderungen
Finanz- und IT-Leiter stehen unter Druck, KI in Bereichen wie Hauptbuch (GL), Kreditorenbuchhaltung (AP), Debitorenbuchhaltung (AR) und Prognosen einzusetzen. Eingebaute ERP-Co-Piloten und externe KI-Agenten lesen Finanzdaten, erstellen Buchungssätze und initiieren Workflows, die von den bestehenden Kontrollen nicht vorhergesehen wurden. Traditionelle Zugangsmodelle setzen jedoch Menschen hinter Bildschirmen voraus. Wenn KI der Benutzer wird, entstehen langfristige Token, API-Schlüssel oder Dienstprinzipale, anstatt temporärer Sitzungen, und komplexe Zugriffsketten, die die Beantwortung grundlegender Fragen über den Zugriff erschweren.
Die Verbindung von KI zu ERP und Finanzdaten
KI greift über drei Hauptmuster auf ERP-Daten zu:
1. Eingebaute Co-Piloten und KI
Wichtige ERP-Anbieter integrieren Co-Piloten und KI-Funktionen direkt in den ERP-Mieter. Diese Assistenten haben oft Zugriff auf sensible Daten, der nicht klar geregelt ist, was Risiken birgt. Ihre Aktivitäten sind schwer von menschlichem Benutzerverhalten in Protokollen zu unterscheiden.
2. Externe KI-Agenten über APIs und Connectoren
Externe KI-Agenten, Co-Piloten und Automatisierungsplattformen verbinden sich über APIs mit ERP-Systemen. Diese Architektur nutzt langfristige API-Schlüssel und gemeinsame Dienstkonten, was die Zuordnung von Aktionen und die Durchführung von SoD-Analysen erschwert.
3. Schatten-KI um ERP
Finanzteams exportieren ERP-Daten in nicht verwaltete KI-Tools, was zu einem Verlust der Kontrolle über sensible Finanzdaten führt. Diese Flüsse umgehen offizielle Integrationskanäle und bestehende Kontrollen.
Der Governance-Ansatz
Um KI-Zugriffe effektiv zu steuern, sollten drei Grundsätze beachtet werden:
1. KI-Agenten als eigenständige Identitäten
Jeder Co-Pilot oder Agent sollte als eigene Identität mit einem Besitzer und einem klaren Risikoprofil definiert werden.
2. Politikorientierter Zugang
Zugriff auf KI sollte durch standardisierte Arbeitsabläufe gesteuert werden, die auf Richtlinien und SoD-Regeln basieren.
3. Audit-fähige Nachverfolgung
Für jede KI-Identität sollte klar sein, wo sie sich befindet, auf welche Systeme und Daten sie zugreifen kann und wer den Zugriff genehmigt hat.
Joiner–Mover–Leaver für KI
Der Zugang von KI sollte im Rahmen eines klaren Lebenszyklus-Managements betrachtet werden:
Joiner: Onboarding neuer KI-Anwendungen
Bei neuen KI-Anwendungen sollte ein vorhersehbarer Onboarding-Prozess existieren, der die benötigten Daten und die berührten ERP-Module erfasst.
Mover: Ändern des KI-Zugriffs
Wenn KI-Agenten in neue Bereiche expandieren, sollte der Zugriff kontrolliert und überprüfbar geändert werden.
Leaver: Abmeldung von KI-Agenten
Wenn Projekte enden oder KI-Workflows nicht mehr genutzt werden, sollte der Zugang automatisch widerrufen werden.
Kontrollplattform für KI-Identitäten
Um diese Prozesse effektiv zu verwalten, wird eine zentrale Kontrollplattform benötigt, die alle Identitäten, einschließlich KI-Agenten, überwacht. Diese Plattform sollte eine autoritative Inventarliste aller Identitäten führen und politikorientierte Entscheidungen automatisieren.
Praktische Checkliste
Eine Checkliste kann helfen, den Governance-Prozess für KI-Zugriffe zu steuern:
1. Erstellen Sie ein Inventar aller KI-Agenten mit Zugang zu Finanzdaten.
2. Weisen Sie jeder KI-Identität einen Besitzer und ein Risikoprofil zu.
3. Integrieren Sie KI-Identitäten in die Joiner–Mover–Leaver-Workflows.
4. Definieren Sie spezifische Zugriffsrichtlinien für Finanzprozesse.
5. Ersetzen Sie gemeinsame Dienstkonten durch verwaltete KI-Identitäten.
6. Fordern Sie politische Genehmigungen für den Zugriff auf sensible Daten.
7. Schließen Sie KI-Agenten in regelmäßige Zugriffsüberprüfungen ein.
8. Aktivieren Sie kontinuierliche Überwachung und Anomalieerkennung für KI-Aktivitäten.
9. Stellen Sie sicher, dass bei der Stilllegung von KI-Agenten Zugriffsrechte widerrufen werden.
10. Berichten Sie regelmäßig über KI-Zugriffsmetriken an die Risikoverwaltung.
Durch diese Maßnahmen wird der Zugriff von KI auf ERP und Finanzsysteme kontrolliert und effektiv verwaltet, was eine transparente und sichere Nutzung von KI ermöglicht.
