Künstliche Intelligenz (KI) bietet der Geschäftswelt enorme Chancen. Betrachtet man die Wechselwirkung zwischen dem Risiko eines Unternehmens und seinen Zielen, könnte man sehr einfach schlussfolgern, welchen Beitrag Künstliche Intelligenz für Governance, Risk und Compliance Aktivitäten bringen kann.
Doch was genau ist unter KI zu verstehen? Künstliche Intelligenz ist definiert als die Wissenschaft und Entwicklung intelligenter Maschinen und Computerprogramme zur Umsetzung bestimmter Ziele. Es geht um die Schaffung eines Computergehirns, welches wie ein Mensch denkt bzw. um Maschinen, die Handlungen übernehmen.
KI ist einer der wichtigsten technologischen Fortrschritte unserer Zeit und hier ganz besonders das Machine Learning: die Fähigkeit einer Maschine, ihre Leistungen ohne menschliches Eingreifen anzupassen und stetig zu verbessern. Bereits jetzt können Systeme lernen, selbst Aufgaben auszuführen.
Die transformative Auswirkung der KI wird in den verschiedensten Branchen zu spüren sein. Der Einfluss auf Kernprozesse und Geschäftsmodelle wird enorm zunehmen und einen zusätzlichen Druck auf das Management und deren Umsetzung aufbauen.
Das bekannte Unbekannte
Die Auswirkungen auf das Risikomanagement sind ähnlich. Eines der wahrscheinlich besten Anwendungsbeispiele ist die Aufdeckung von Betrugsfällen. Algorithmen können durch die Nutzung verschiedener stochastischer Modellierungstechniken, Kodierungen und Datenprüfungen geschrieben werden. Natürlich bedarf es für den Erfolg von Machine Learning einer hohen Datenqualität. Risikodaten müssen so strukturiert sein, dass sie als Input Künstlicher Intelligenz genutzt werden können.
Die Herausforderung des Machine Learnings wiederum ist der Nachweis relevanter Ergebnisse. Eben weil die Maschinen einem Lernprozess unterliegen, entsprechen deren Folgerungen nicht immer dem gewünschten Ergebnis. Das macht es einem Risikomanager schwer, die Empfehlungen der Maschine seinen Vorgesetzten oder den Regulierungsbehörden zu erklären. Beispiele für Problemfelder bei der Ermittlung von Daten durch KI sind vor allem Multikollinearität, Datenmangel oder auch der Art und Weise, wie die Maschine mit Sonderfällen umgeht. Insbesondere der letzte Aspekt kommt bei Risikodaten häufig vor, wenn das Unternehmen auch auf externe Daten zurückgreift.
Dieses Beispiel trifft auf die typische Risikomanagement-Situation des “wir schauen beim Fahren in den Rückspiegel“ zu. Schon allein die enorme Datenmenge gibt Gewissheit und Zuversicht (nicht nur die statistische Signifikanz eines Modells) über den Output der KI. Von diesem Trugschluss “profitieren” viele inhärente, intrinsische Risiken, denen sich Unternehmen häufig ausgesetzt sehen (Beispiel: Malware).
KI kann ebenso für den Nachweis von Gesetzes-Konformität eingesetzt werden. Ein großer Finanzdienstleister beispielsweise nutzt KI um Geldwäsche zu verhindern und dadurch AML/BSA Compliance sicherzustellen.
Das unbekannte Unbekannte
Zu einer offensichtlichen Herausforderung für KI werden Daten, die entweder unbekannt und/oder unstrukturiert sind. Führungskräfte und Vorstand suchen nach dem nächsten potentiellen schwerwiegenden Ereignis für ihr Unternehmen.
KI dient zunehmend als Katalysator für einige dieser Themen, so werden z.B. in der Medizin Informationen (Daten) aus bildgebenden Verfahren verarbeitet, um Krankheiten zu diagnostizieren. Dennoch kämpft die KI noch mit der Beantwortung von Fragen wie: Wer könnte der neue disruptive Konkurrent sein? Was wird der nächste technologische Fortschritt bei Operationen sein? Welche Auswirkungen bringt eine Gesetzesänderung?
Auch wenn KI in puncto Raffinesse immer reifer und ausgeklügelter wird, kommt sie voraussichtlich nie ohne menschliches Eingreifen aus – vor allem wenn es letztendlich um die Interpretation der Daten und deren Auswirkungen auf ein Unternehmen geht.
Man kann die Risiko- und Kontrolldaten aus seiner GRC-Software nutzen, um mögliche Grenzen der KI zu überwinden. Die Szenario-Analyse beispielsweise nutzt Risiko- und Kontrolldaten wie Schadensfälle, Kapitalinvestitionen und Geschäftsaktivitäten (z.B. Data Feeds aus sozialen Netzwerken), um wahrscheinliche Risikoszenarien in der Bilanz und der Gewinn- und Verlustrechnung hervorzuheben.
Vorsprung mit GRC
Künstliche Intelligenz wird das Risikomanagement zunehmend beeinflussen.
Themen wie Big Data werden eine bedeutende Rolle in der Bewertung von Risiken und Risikomanagement-Aktivitäten spielen. Andere Themen wie Analytics werden wichtige Einblicke in Veränderungen des Risikoprofils geben. Dass KI fließend und dynamisch ist, ist ihr großer Vorteil. Dadurch entsteht ein transparentes Umfeld, das es ermöglicht, Gefahrenpotenziale besser zu handhaben und Chancen schneller zu nutzen.
Zusätzlich kann Künstliche Intelligenz Kontrollaktivitäten reduzieren und das Umfeld der Kontrollen optimieren. Damit eröffnet sich die Möglichkeit, die Effizienz der Kontrollinvestitionen zu bewerten, so dass Kapital auf bestimmte Wachstumsbereiche umverteilt werden kann.
Desweiteren liefert KI Einblicke in den Zusammenhang von Risiken. Die Nasdaq BWise GRC-Plattform bietet die Möglichkeit, Erkenntnisse bezüglich verschiedener Risikothemen, die miteinander in Verbindung stehen, zu berichten und bereitzustellen. Beispielsweise hat das Datenschutz-Risiko zahlreiche Facetten: operational, IT- oder Compliance-bezogen. Die Nutzung Künstlicher Intelligenz kann die Informationen über verschiedene Risikoarten hinweg verbinden – mit dem Ziel, ein ganzheitliches Bild der Risiko-Umgebung zu liefern.
Kontrollen können wie Mauersteine hinzugefügt oder entfernt werden – ausgehend von den Erkenntnissen, die KI liefert. Die Optimierung der Kontroll-Umgebung stellt sicher, dass Investitionen bestmöglich zugewiesen werden, um den Wert zu maximieren.
Die GRC-Landschaft steckt noch in Kinderschuhen, was Künstliche Intelligenz betrifft. Dennoch verändert sie bereits das traditionelle Bild des Risikomanagements.
So lernen Maschinen schon jetzt selbständig anhand von Beispielen – was der Zusammenarbeit über verschiedene Verteidigungslinien hinweg bedarf. Bis wir ein besseres Verständnis darüber haben, wie sich ein Risikograd durch die Wertschöpfungskette hindurch verändert, werden wir uns aber weiterhin auf GRC-Software als maßgebliche Basis für die Entscheidungsprozesse im Unternehmen verlassen müssen.
Für weitere Informationen können Sie gern Richard Jansen kontaktieren.
Ladd Muzzy hat über 20 Jahre Erfahrung in der Entwicklung, Implementierung und Koordinierung von Risikomanagementprogrammen. Er hatte führende Positionen im Risikomanagement, vorwiegend in Großbanken. Eine seiner Hauptmissionen bestand in der Bewertung des Risikomanagementansatzes von Unternehmen und deren Praktiken, um sie zu Spitzenreitern in puncto Risikomanagementmethodologie und –praxis zu machen. Bei Nasdaq BWise hat er als GRC-Fachexperte zahlreiche Inhalte generiert sowie Blogbeiträge und Artikel für diverse GRC-Fachzeitschriften veröffentlicht.