Doch Einsatz und Nutzung von KI bringen neben Vorteilen auch Herausforderungen mit sich, erörtern Stefanie Bertele et al. in der Zeitschrift Interne Revision (ZIR) 2/23. Unabhängig von der eingesetzten Technologie seien die Erfüllung von regulatorischen Anforderungen in den Unternehmen sicherzustellen und ethische Bedenken zu berücksichtigen.

Ideal wäre aus Sicht der Autorinnen und Autoren ein einheitliches Verständnis über die entsprechenden Risiken. Dies erfordere das Messen, Prüfen und Vergleichen von bestimmten, ausschlaggebenden Attributen von KI-Systemen untereinander.

Ein derzeitiger Ansatz der Wissenschaft sei es, Systeme zu kategorisieren. Demnach lassen sich KI-Systeme folgenden Risikoklassen zuordnen:

• Klasse-0-Systeme müssen auf technischer Ebene nicht reguliert werden. Beispiel: Produktempfehlungssysteme für Kleidung.
• Klasse-1-Systeme sollten ständig überwacht werden, zum Beispiel durch eine Black-Box-Analyse, die keinen Zugriff auf den Code benötigt. Beispiel: Googles Suchmaschine.
• Klasse-2-Systeme sollten neben der ständigen Kontrolle auch mehrere Transparenzpflichten erfüllen. Beispiel: automatische oder unterstützende Entscheidungssysteme, die eingehende Bewerbungen auf einen Job bewerten.
• Klasse-3-Systeme dürfen als lernende Komponenten nur noch erklärende Modelle verwenden. Beispiel: Systeme, die innerhalb eines Betriebs versuchen, Arbeitnehmende nach zukünftigem Erfolg zu klassifizieren.
• Klasse-4-Systeme verursachen Entscheidungssituationen, die nicht durch algorithmische Entscheidungssysteme mit einer lernenden Komponente entschieden werden sollten. Beispiel: automatische Inhaftierung durch juristische Systeme.

Beim Auditieren liegt der Schwerpunkt auf der Erfüllung gesetzlicher Vorschriften und der Durchführung risikobasierter Prüfungen, führen die Autorinnen und Autoren aus. Zu den Herausforderungen zählten falsche Prüfungsplanung, Unwissenheit, sich ändernde Risiken, Vorurteile, Fehlausrichtung und verzerrte Datenstichproben.

Auditprozesse ließen sich so weiterentwickeln, dass KI-Systeme den Auditorinnen und Auditoren bei der Ermittlung von Mustern aus großen Datensätzen, bei der Risikobewertung, der Festlegung des Prüfumfangs und der frühzeitigen Erkennung potenzieller Cyberrisiken unterstützen.

Der vollständige ZIR-Beitrag ist hier abrufbar.

Zeitschrift Interne Revision Zukunftsweisend in der Internen Revision Die Zeitschrift Interne Revision (ZIR) führt erstklassiges Fachwissen für die Interne Revision in Unternehmen und Verwaltungen zusammen. In Fachkreisen, die mit Revisions-, Kontroll- und Prüfungsaufgaben betraut sind, gilt sie zweifellos als wichtigstes Publikationsmedium – und als profiliertester Impulsgeber einer weitreichenden Professionalisierung des Berufsstands in den letzten Jahrzehnten. Fachinformationen aus erster Hand Die ZIR wird herausgegeben vom DIIR – Deutsches Institut für Interne Revision e.V. Neben zentralen Grundlagenthemen finden Sie Schwerpunkt- und Spezialbeiträge über die gesamte Breite aktueller betrieblicher, regulatorischer und technischer Herausforderungen für eine ordnungsgemäße Revisionstätigkeit. Alle Beiträge werden vor ihrer Veröffentlichung vom DIIR sorgfältig geprüft. Die ZIR unterstützt die Zusammenarbeit der Internen Revision mit internen und externen Instanzen wie Risikomanagement, Compliance und Wirtschaftsprüfung. Verantwortliche Revisoren und Prüfer, Führungskräfte aus Geschäftsleitung, Aufsichts-, Prüfungs- und Beratungsinstanzen versorgt sie mit praxisnahen Orientierungs- und Entscheidungshilfen.