Home

Intern

Deutsch|English

Neues Themenspecial "Quantitative Advisory – Ihr Kümmerer für komplexe Bewertungsherausforderungen" » |

Weltweit

Anscheinend ist in Ihrem Browser JavaScript nicht aktiviert. Aktivieren Sie bitte JavaScript, und versuchen Sie es erneut.

Prüfung von KI-Systemen nach IDW PS 861 – Das müssen Anwender wissen

veröffentlicht am 31. Juli 2024

Der Fachkräftemangel in Deutschland sowie die rasche technologische Entwicklung führen dazu, dass in Geschäftsprozessen zunehmend Künstliche Intelligenz (KI) eingesetzt wird. Die Potenziale von KI sind weitreichend. Gleichwohl wird ihr Einsatz in Bezug auf ihre Verlässlichkeit und Sicherheit aktuell auch sehr kontrovers diskutiert. Um betroffenen Unternehmen in der Ausgestaltung und Einführung von KI-Systemen zu unterstützen, hat das Institut der Wirtschaftsprüfer erstmals ein Rahmenwerk veröffentlicht, welches Anwendern und Prüfern entsprechende Kriterien und Maßnahmen zur Bewertung von KI-Systemen an die Hand gibt. In dem nachfolgenden Artikel werden die Hintergründe, Anforderungen und Maßnahmen dieses Prüfungsstandards näher beleuchtet.

In Deutschland ist seit Jahren ein Mangel an Fachkräften festzustellen. Neben den bekannten Bereichen wie der Pflege und dem Handwerk sind auch die MINT-Berufe (Mathematik, Informatik, Naturwissenschaften und Technik) betroffen und führen bei den betroffenen Unternehmen zu starken wirtschaftlichen Einbußen. Zusätzlich sehen sich Unternehmen vieler Sektoren, wie auch Krankenhäuser und Forschungseinrichtungen, seit einiger Zeit gezielt mit der Gefahr von Cyberangriffen konfrontiert. Die Folgen eines erfolgreichen Cyberangriffs sind für die jeweiligen Häuser oft sehr unterschiedlich und abhängig davon, wie weit die Angreifer in die IT-Umgebung vordringen können. Die Konsequenzen reichen vom Abschalten der Systeme bis hin zum kompletten Datenverlust und sind in jedem Fall gravierend.

Nicht nur zur Abmilderung der Folgen des Fachkräftemangels bietet die Künstliche Intelligenz (KI) das Potenzial, Arbeitsschritte zu automatisieren, Menschen von Routinearbeiten zu entlasten und so neue Freiräume für kreative Arbeit und Innovation zu schaffen. Auch im Bereich der IT-Sicherheit kann sie sinnvoll unterstützen und bspw. präventiv zur Angriffs- oder Schwachstellenerkennung eingesetzt werden und somit ein hohes Informationssicherheitsniveau sicherstellen.

KI ist mittlerweile in einer Vielzahl von Anwendungsgebieten und Geschäftsprozessen integriert. Diese reichen bspw. von der Bilddatenanalyse zur Diagnosefindung im Krankenhaussektor über eine effizientere Programmierung in der IT bis hin zu Smart-Home-Technologien in Gebäuden. Die stark gestiegene Relevanz von KI-Systemen hat nicht nur die Frage nach deren Vorteilen und Potenzialen aufgeworfen, sondern auch nach deren Gefahren, Risiken und wie diese ausgestaltet sein müssen, um einen sicheren Betrieb ermöglichen zu können.

Um Anwender und Prüfer in dieser Frage zu unterstützen, hat das Institut der Wirtschaftsprüfer (IDW) ein entsprechendes Rahmenwerk zur Prüfung von KI-Systemen (IDW PS 861) veröffentlicht. Der Prüfungsstandard ermöglicht unter anderem die Beurteilung der Wesentlichkeit der eingesetzten KI-Systeme sowie die Aufdeckung möglicher Sicherheitslücken und kann somit das Vertrauen in den Einsatz von KI-Systemen stärken.

Definition von Künstlicher Intelligenz

Aktuell gibt es keine allgemeingültige und anerkannte Definition von KI, jedoch ähneln sich die verschiedenen Ansätze stark in ihrer Kernaussage:

Künstliche Intelligenz bezeichnet die Fähigkeit von Computersystemen, auf sie zugeschnittene Aufgaben selbsttätig zu lösen, die aufgrund ihrer Komplexität bislang menschliche Fähigkeiten erforderten.

Der IDW PS 861 definiert KI als System, welches mindestens eines der folgenden Merkmale aufweist: Die Fähigkeit,

mathematisch-berechenbare Modelle auf der Basis von Daten zu erstellen und diese auf neue Daten anzuwenden (maschinelles Lernen)
Daten auf Basis von enthaltenen Mustern und Merkmalen zu nutzen und ggf. zu generieren
Algorithmen durch die Nutzung von Daten zu verändern
Daten auszulesen, zu verarbeiten, zu interpretieren und daraus Informationen zu generieren.

Dem gegenüberstehend liegt KI explizit dann nicht vor, wenn bei deskriptiven Datenanalysen und auch sonstigen statistischen Methoden die Ergebnisinterpretationen und die Entscheidungsfindung ausschließlich bei den Anwendern liegt.

Prüfung von KI-Systemen nach IDW PS 861

Im März 2023 wurde der Prüfungsstandard IDW PS 861 veröffentlicht, der die Prüfung von KI-Systemen außerhalb der Jahresabschlussprüfung im Fokus hat. Mit Hilfe dieses Standards kann beurteilt werden, ob das KI-System die dem Prüfungsstandard zugrundeliegenden Anforderungen erfüllt, und ob entsprechende Maßnahmen zur Erfüllung dieser Anforderungen implementiert sind. Die zu prüfenden Mindestanforderungen sind neben ethischen und rechtlichen Anforderungen für KI, auch die Nachvollziehbarkeit, IT-Sicherheit und Leistungsfähigkeit.

Die Wahrung ethischer und regulatorischer Grundsätze erfordert es, das KI-System und die Daten so auszugestalten und zu verwenden, dass diese sowohl mit den unternehmensindividuellen als auch allgemein anerkannten Werten und rechtlichen Rahmenbedingungen im Einklang stehen. Neben der Einhaltung menschlicher Autonomie, Fairness und Nichtdiskriminierung fällt hierunter auch die Gewährleistung der Ordnungsmäßigkeit und Sicherheit des KI-Systems.

Nachvollziehbarkeit definiert die Verpflichtung an das Unternehmen, die hervorgebrachten Ergebnisse und Entscheidungen des KI-Systems sowie die dazugehörigen Prozessschritte, die zu diesem Output geführt haben, transparent und erklärbar darzulegen, sodass diese von einer unabhängigen sachkundigen Person verstanden werden können. Dazu gehört auch alle vorgenommenen Änderungen und korrigierenden Eingriffe an allen im KI-System verwendeten Algorithmen, Daten und KI-Modellen nachvollziehbar und strukturiert zu dokumentieren.

Weiterhin gilt es nach dem Prüfungsstandard die IT-Sicherheitsziele zu gewährleisten. Neben den allgemeinen Schutzzielen wie der Vertraulichkeit, Integrität und Verfügbarkeit sind auch erweiterte Schutzziele wie die Authentizität, Autorisierung und Verbindlichkeit sowie im Krankenhausumfeld die Patientensicherheit und Behandlungseffektivität zu erfüllen. Danach muss das KI-System vor unbemerkten Manipulationen oder ungewollten und fehlerhaften Veränderungen geschützt, Systemausfälle vermieden und Sicherungsverfahren hiervor eingerichtet werden. Weiterhin sind klare Berechtigungen auszugestalten, sodass auf das KI-System nur ausgewählte Personen Zugriffe erhalten und enthaltene Daten nur von autorisierten Anwendern gelesen und modifiziert werden können. Zudem sind Maßnahmen zu ergreifen, um die ausgeführten Transaktionen des KI-Systems identifizierbar, überprüfbar und vertrauenswürdig zu machen und so eine Nichtabstreitbarkeit von Rechtsfolgen zu gewährleisten.

Zuletzt wird an ein KI-System die Anforderung gestellt leistungsfähig zu sein und den zugrunde gelegten Ansprüchen des Unternehmens zu genügen. Bspw. müssen die Ergebnisse des KI-Systems ein bestimmtes Qualitätsniveau aufweisen oder diese in einer bestimmten Antwort- und Bearbeitungszeit störungsfrei an den Anwender ausgegeben werden.

Neben den bereits genannten Mindestanforderungen aus dem IDW PS 861 können darüber hinaus weitere Anforderungen des EU Artificial Intelligence Acts (AI-Acts) mit in die Prüfung inkludiert werden. Unter anderem sind hierin Anforderungen an die Dokumentation und Aufbewahrung von Daten sowie das Risikomanagement definiert. Die explizite Wahl der Anforderungen bzw. deren Ausgestaltung kann abhängig vom verwendeten KI-System unterschiedlich sein und muss durch die gesetzlichen Vertreter des jeweiligen Unternehmens erfolgen.

Um die vorgenannten Mindestanforderungen aus dem Prüfungsstandard IDW PS 861 erfüllen zu können, sind unternehmensseitig folgende Maßnahmen zu ergreifen:

1. KI-Governance/KI-Compliance/KI-Monitoring:

Es ist notwendig geeignete Aufbau- und Ablauforganisationen zu implementieren, die den ethischen und regulatorischen Grundsätzen des Betriebs entsprechen. Die Unternehmensstrategie muss um entsprechende Ausführungen zum KI-System ergänzt und KI-Ziele definiert werden. Zusätzlich sind Verfahrensanweisungen und Richtlinien zu verschriftlichten, die Vorgaben zur Erreichung dieser KI-Ziele zu spezifizieren und Verantwortlichkeiten festzulegen. Ein objektives Monitoring zur Beurteilung des KI-Systems sollte regelmäßig durchgeführt und dieses so stetig verbessert werden.

2. Daten:

Es ist gefordert, geeignete technische und organisatorische Maßnahmen umzusetzen, um die Beschaffung und Nutzung von Daten im KI-System an den ethischen, rechtlichen und sonstigen Anforderungen des Unternehmens auszurichten und eine vollumfassende Nachvollziehbarkeit der Herkunft und von Änderungen an diesen zu gewährleisten. Anforderungen an die Qualität, die Art und den Umfang von Daten sind in entsprechenden Richtlinien niederzuschreiben.

3. KI-Algorithmus/KI-Modell:

Verfahren zur Ausgestaltung bzw. Fortentwicklung des KI-Algorithmus und KI-Modells inkl. aller getroffener Entscheidungen müssen dokumentiert und kommuniziert werden sowie für den Anwendungsfall geeignet und mit den KI-Zielen konform sein. Weiterhin gilt es geeignete Test- und Freigabeverfahren inkl. einer regelmäßigen Überwachung und Erfolgskontrolle der Ergebnisse zu implementieren.

4. KI-Anwendung:

Es sind Richtlinien zu dokumentieren und kommunizieren, die festgelegte Anweisungen und Verfahren zur Entwicklung bzw. der Wahl und Beschaffung von KI-Anwendungen beinhalten. Im Rahmen der Eigenentwicklung sind neben der Ausgestaltung von Grob- und Feinkonzepten sowie Richtlinien zum Qualitätsmanagement und Programmierung auch Schnittstellenprozesse darzulegen. Erfolgt eine externe Beschaffung der KI-Anwendung sind eigene Mindestanforderungen an die Erkennungsquote sowie die Einhaltung ethischer, gesetzlicher und regulatorischer Vorschriften zu definieren. Geeignete Change-Management Prozesse müssen für den gesamten Anpassungsprozess initialisiert werden.

5. IT-Infrastruktur:

Es ist notwendig ein KI-Sicherheitskonzept zu verschriftlichen und in das allgemeine IT-Sicherheitskonzepte einzubetten. Darin definiert werden sollten die logischen Zugriffskontrollen zum KI-System, zu ergreifende Schutzmaßnahmen vor Schadprogrammen, physische Sicherheitsmaßnahmen sowie Datensicherungsverfahren. Darüber hinaus sind praktische Maßnahmen zu determinieren, um das KI-System vor Manipulationen, unbefugten Zugriffen, Verlusten und Zerstörung zu sichern.

Die Prüfung nach IDW PS 861 ist entweder in der Form einer Angemessenheits- oder Wirksamkeitsprüfung durchzuführen. Grundlage beider Prüfungsansätze ist es, eine hinreichende Sicherheit darüber zu erlangen, ob die Beschreibungen des KI-Systems in allen Belangen den Mindestanforderungen entsprechen. Darüberhinausgehend muss bei der Wirksamkeitsprüfung Sicherheit darüber erlangt werden, ob die umgesetzten Maßnahmen zusätzlich auch wirksam umgesetzt sind.

Das Team Assurance & IT kann Sie bei der Prüfung von KI-Systemen außerhalb der Jahresabschlussprüfung vollumfänglich unterstützen und bietet eine umfassende und qualitativ hochwertige Beratung mit dem Branchenfokus auf den Gesundheits- und Sozialsektor. Neben der Branchenexpertise erhalten Sie bei uns ein ganzheitliches Beratungspaket mit Einbezug von z.B. Datenschutz & Compliance oder rechtlichen Themen.

Falls Sie Fragen rund um das Thema der Prüfung von KI-Systemen haben und/oder Unterstützung bei dieser benötigen, stehen wir Ihnen mit unserem interdisziplinären Team gerne zur Verfügung.

Quellen:

IDW Prüfungsstandard: Prüfung von KI-Systemen (IDW PS 861)

Gethmann, C.F. et al. (2022) Künstliche Intelligenz in der Forschung: neue Möglichkeiten und Herausforderungen für die Wissenschaft. Berlin [Heidelberg]: Springer (Ethics of science and technology assessment, Band 48).

AUTORen

Felix Friebis	Kai-Jannis Kopper

FOLGEN SIE UNS!

AUS DEM NEWSLETTER

Newsletter Gesundheits- und Sozialwirtschaft Nr. 07/2024

Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

WIR BERATEN SIE GERN!

Unsere Veranstaltungen

Alle Veranstaltungen