KI Governance und Assurance: Argumente für die Zertifizierung eines KI-Managementsystems nach ISO/IEC 42001

In diesem Artikel wird dargelegt, warum Ihre Organisation interne und externe Anforderungen entwickeln, steuern und fortlaufend einhalten muss, um die erfolgreiche Implementierung von KI in Prozessen, Produkten und Dienstleistungen voranzutreiben.

Künstliche Intelligenz (KI) verändert die Welt und schafft neue Möglichkeiten und Herausforderungen für Unternehmen und die Gesellschaft insgesamt. Mit der Einführung der generativen KI ChatGPT und Copilot hat die Zahl der Experimente und ersten Anwendungen von KI in Organisationen explosionsartig zugenommen. Erfolgreiche Implementierungen zeigen, dass KI die Effizienz, Qualität, Innovation und Kundenzufriedenheit steigern kann. Jede neue Technologie birgt jedoch auch Risiken. KI ist voller potenzieller Herausforderungen und Unsicherheiten, die für eine sichere, zuverlässige und ethische Entwicklung, Anwendung und Nutzung bewältigt und minimiert werden müssen.

Hier wird die Rolle eines Managementsystems für künstliche Intelligenz (AIMS), das auf dem Standard ISO/IEC 42001 basiert, für Organisationen in Bezug auf die Steuerung von KI unerlässlich. Ein strukturierter Ansatz zwingt Sie dazu, „zu denken, bevor Sie handeln“, und die Leistung und Ergebnisse kontinuierlich zu bewerten. Dieser grundlegende Standard für KI-Management, Risikomanagementansatz und Zertifizierung durch Dritte wird bereits als eine der wichtigsten Säulen für die Steuerung der Entwicklung und die Bereitstellung vertrauenswürdiger KI-Lösungen anerkannt.

Die Notwendigkeit einer sicheren und verantwortungsvollen Nutzung von KI

Die Notwendigkeit einer zuverlässigen KI wird durch die zunehmende Erprobung und Einführung ihrer zahlreichen Anwendungen, das wachsende Bewusstsein und die Erwartungen der Interessengruppen sowie die sich entwickelnde ethische und regulatorische Landschaft vorangetrieben. Folglich können die Vorteile der KI von Organisationen nur dann genutzt werden, wenn die Vertrauenslücke zwischen den Entwicklern und den Anwendern der KI überbrückt wird. Die Vertrauenslücke bezieht sich auf den potenziellen Mangel an Vertrauen und Transparenz in die KI-gestützten Produkte und/oder Dienstleistungen Ihrer Organisation. Wenn für die Anwender beispielsweise unklar ist, wie KI-Systeme Entscheidungen treffen, führt dies zu Unsicherheit und Skepsis in Bezug auf Sicherheit, ethische Überlegungen, Datenschutz und allgemeine Glaubwürdigkeit. Einfach ausgedrückt beruht unser Vertrauen in eine Technologie auf unserer Fähigkeit, ihre Einsatzmöglichkeiten vollständig zu verstehen und die Gewissheit zu erlangen, dass sie sicher und zuverlässig ist.

Die Überbrückung dieser Vertrauenslücke ist für die Vermarktung und Skalierung von KI-Produkten und -Dienstleistungen von entscheidender Bedeutung. Sie erfordert, dass Sie eine sichere, verantwortungsvolle, zuverlässige und ethische Umsetzung von KI gewährleisten. Darüber hinaus muss diese Sicherheit sowohl internen Interessengruppen wie Ihren Mitarbeitern und der Geschäftsleitung als auch externen Interessengruppen wie Kunden und Aktionären garantiert werden.

Um die Vertrauenswürdigkeit Ihrer Lösungen zu erreichen und zu demonstrieren, ist ein systematischer Ansatz erforderlich, der den gesamten KI-Lebenszyklus abdeckt – von der Stakeholder-Analyse über angemessene Leitplanken (wie ethische Richtlinien), die Priorisierung von Anwendungsfällen und die Risikoidentifizierung bis hin zur Umsetzung relevanter Maßnahmen. Wenn wir uns die Vertrauenslücke genauer ansehen, können klare Bedürfnisse und Erwartungen identifiziert werden. Beispielsweise sollte Ihre Organisation:

• die Bereiche und Anwendungen ermitteln und priorisieren, in denen KI einen Mehrwert schaffen und Wirkung erzielen kann, und die Vorteile und Risiken verstehen.
• eine Kultur des Vertrauens, der Transparenz und der Rechenschaftspflicht innerhalb von Organisationen etablieren und aufrechterhalten.
• die Leistung und Qualität von KI-Systemen bewerten und messen und die Übereinstimmung mit den Grundsätzen der Vertrauenswürdigkeit, bestehenden oder künftigen Gesetzen und Kundenanforderungen sicherstellen.
• Rollen und Verantwortlichkeiten in Organisationen organisieren, was besonders in einem Technologiebereich, der sich ständig weiterentwickelt, von entscheidender Bedeutung ist.
• Prozesse auf der Grundlage von Best-Practice-Standards (z. B. ISO/IEC 42001) für die Entwicklung, Implementierung und Steuerung von KI übernehmen und umzusetzen.
• die Vertrauenswürdigkeit von KI-Systemen gegenüber den Interessengruppen kommunizieren und Nachweise und Bestätigungen für die Einhaltung von Best Practices, Gesetzen und Vorschriften erbringen.

Dies ist eine keine abschließende Übersicht über die wichtigsten Anforderungen und Erwartungen. Der Standard ISO/IEC 42001 für KI-Managementsysteme soll Leitlinien und eine Struktur bieten, um diese effektiv zu steuern.

Die Rolle der Standardisierung bei KI-Governance

Jede neue Technologie birgt Risiken. Die sich ständig verändernde Landschaft der KI in Verbindung mit dem enormen Potenzial ihrer branchenübergreifenden Anwendung verstärkt dies noch. So ist es beispielsweise unmöglich, alle Ergebnisse bereits in der Entwurfsphase vorherzusagen.

In diesem Zusammenhang gewinnen Standards für Managementsysteme wie ISO/IEC 42001 eine besondere Bedeutung. Immer wenn öffentliches Vertrauen erforderlich ist, spielen Standardisierung und Zertifizierung eine entscheidende Rolle. Neben rechtlichen, regulatorischen und ethischen Überlegungen bietet die Standardisierung ein Instrument, das Skalierbarkeit ermöglicht, Sicherheit schafft und Organisationen durch das unbekannte Terrain führt, das KI derzeit darstellt.

Standards legen eine grundlegende Terminologie fest, fördern branchenführende Normen und erfassen bewährte Verfahren zur Bewertung und Verbesserung. Standards, die auf KI-Management abzielen, schaffen Klarheit und verantwortungsvolles Handeln und werden die gesellschaftliche Akzeptanz erheblich fördern. Sie bieten eine Grundlage für die Einhaltung von Vorschriften und die Übernahme durch die Industrie. Sie beschleunigen die Fähigkeit, das globale Potenzial der KI auf sichere, verantwortungsvolle und ethische Weise zu nutzen. Außerdem schaffen sie die erforderliche Transparenz, um das Vertrauen und die Sicherheit bei den Nutzern und anderen Interessengruppen zu gewährleisten.

Die Rolle von KI-Managementsystemen

Standards und Zertifizierungen für Managementsysteme können Organisationen als solide Grundlage dienen, um ihre Governance rund um KI aufzubauen (siehe Abbildung 1). Der internationale Standard für KI-Managementsysteme ISO/IEC 42001 enthält Leitlinien und Anforderungen für Organisationen, die KI-Systeme entwickeln, einsetzen oder nutzen.

Dieser mit Spannung erwartete Standard wurde Ende 2023 veröffentlicht und ist branchenübergreifend und für Organisationen jeder Art und Größe anwendbar, die an der Entwicklung, Bereitstellung oder Nutzung von Produkten und/oder Dienstleistungen beteiligt sind, die KI-Systeme nutzen. Da es sich um eine ISO-Norm handelt, ist sie mit anderen klassischen ISO-Normen für Managementsysteme wie ISO 9001 (Qualität) und ISO/IEC 27001 (Informationssicherheit) kompatibel und ergänzt diese. ISO/IEC 42001 schafft ein Gleichgewicht zwischen der Förderung von KI-Innovationen und der Umsetzung einer effektiven Governance.

Das bedeutet, dass Sie auf jedes bestehende Managementsystem und jede allgemeine Prozesss-Governance anknüpfen und darauf aufbauen können. Der Standard gewährleistet einen umfassenden Ansatz, um zu steuern, wie Sie KI zu einem integralen Bestandteil von Produkten, Dienstleistungen oder sogar internen Anwendungen machen.

In der folgenden schematischen Darstellung positionieren wir die ISO/IEC 42001 als Prozesssteuerungsinstrument in der „Assurance-Pyramide“. An der Basis der Pyramide befindet sich die grundlegende Infrastruktur der Organisation. All dies muss vorhanden sein, damit die Organisation funktionieren kann. Um die Abläufe zu steuern und zu verbessern, entscheiden sich viele Organisationen für die Implementierung von Managementsystemen, die den Standards für Qualität (ISO 9001), Informationssicherheit (ISO/IEC 27001) oder anderen Managementsystemstandards entsprechen. Die Zertifizierung ist dann das Mittel, um die Einhaltung der Anforderungen gegenüber verschiedenen Interessengruppen nachzuweisen.

 

Da ISO/IEC 42001 eine ähnliche Struktur wie die anderen ISO-Managementsystem-Standards aufweist, erleichtert es die Integration der Anforderungen des KI-Managementsystems in Ihr Managementsystem. Auf diese Weise bildet Ihre Prozesss-Governance die Grundlage für die Entwicklung, den Aufbau und die Nutzung vertrauenswürdiger KI-Systeme.

Die Hauptziele von ISO/IEC 42001 sind:

• Bereitstellung eines Rahmens und einer Methodik zur Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufenden Verbesserung eines KI-Managementsystems, das den gesamten KI-Lebenszyklus abdeckt. Dabei wird ein risikobasierter Ansatz verfolgt.
• Demonstration und Kommunikation der Vertrauenswürdigkeit der KI-Systeme und -Prozesse einer Organisation.
• Unterstützung bei der Einhaltung von Vorschriften und Gesetzen, was mit zunehmenden nationalen und internationalen Vorschriften wie dem im August 2024 in Kraft getretenen europäischen KI-Gesetz (EU AI Act) immer wichtiger wird.
• Erleichterung der Interoperabilität und Integration von KI-Systemen und -Prozessen.
• Förderung der Zusammenarbeit und Koordination zwischen den Interessengruppen.
• Unterstützung von Innovationen und Verbesserungen von KI-Systemen und -Prozessen.
• Förderung der Übernahme und Verbreitung von Best Practices und Standards für das KI-Management.

Es wird erwartet, dass die Beziehung zwischen ISO/IEC 42001 und KI-Gesetzen und Vorschriften synergetisch und für beide Seiten vorteilhaft sein wird. Während der KI-Act der EU einen deutlichen Produktfokus hat, bietet die Einführung eines KI-Managementsystems eine Grundlage, auf der konsistente und vorhersehbare vertrauenswürdige KI-Systeme aufgebaut und bereitgestellt werden können. Die Vorgaben des Standards stehen mit den Anforderungen der Rechtsvorschriften im Einklang.

Letztendlich gewährleistet ein gut umgesetztes und allen relevanten Standards entsprechendes Managementsystem die Integrität, den Datenschutz und die ethische Nutzung von Daten und ist gleichzeitig anpassungsfähig genug, um sich ständig ändernde Anforderungen von Kunden, technologische Fortschritte, rechtliche und regulatorische Instanzen usw. zu integrieren.

Der Weg nach vorn?

Um den Prozess der Einführung eines nach ISO/IEC 42001 zertifizierten Managementsystems zu starten, können Sie den DNV-Artikel „8 Schritte zur Zertifizierung des ISO/IEC 42001-Managementsystems“ und das dazugehörige DNV-Self-Assessment-Tool als Orientierung verwenden. Der Prozess beginnt mit einer Managementbewertung durch die Geschäftsleitung, um die Hauptgründe für die Einführung eines KI-Managementsystems zu ermitteln. Danach sollten Sie den Standard ISO/IEC 42001 erwerben und eine strategische Ausrichtung festlegen, die den festgelegten Zielen entspricht.

Die folgenden Schritte umfassen die Planung und Ressourcenzuweisung, das Verständnis und die Abbildung wichtiger Prozesse sowie die Ermittlung des Schulungsbedarfs für die Mitarbeiter. Die Vorbereitung, Entwicklung und Umsetzung anwendbarer Prozesse und Verfahren sind typische Schritte, und es ist wichtig, interne Audits und Managementbewertungen durchzuführen, um die Wirksamkeit des Systems während des Prozesses zu überprüfen. Die Verwendung des Self-Assessment-Tools von DNV hilft dabei, Lücken gegenüber den Standardanforderungen zu identifizieren, und ermöglicht einen fokussierten Ansatz zur Erfüllung der Anforderungen von ISO/IEC 42001.

Warum ist DNV der richtige Partner für Sie?

Als weltweit führende Zertifizierungsstelle ist DNV der Partner der Wahl für 80.000 Unternehmen weltweit, wenn es um die Zertifizierung und Schulung von Managementsystemen geht. Wir verfügen über einzigartige Kompetenzen, Branchenkenntnisse und Fähigkeiten in Bezug auf KI und andere Managementsysteme. Wenn Sie sich für DNV entscheiden, erhalten Sie:

• einen Global Player in den Bereichen Informationssicherheit und Datenschutz: Wir verfügen über eine solide Erfolgsbilanz bei der Zertifizierung und Schulung in den Bereichen Informationssicherheit und Datenschutz, die für die Integration in Ihr KI-Management von entscheidender Bedeutung ist.
• Risk Based Certification™: Wir verfolgen einen proaktiven risikobasierten Ansatz bei der Zertifizierung, d. h. wir können Unternehmen dabei unterstützen, potenzielle Risiken in ihren KI-Systemen frühzeitig zu erkennen, um sicherzustellen, dass sie behoben werden, bevor sie zu einem Problem werden.
• Lumina™: Dies ist unser datenbasiertes Benchmarking-Tool, das tiefere Einblicke und Analysen in Managementsysteme bietet, von den häufigsten Fehlern und Korrekturmaßnahmen bis hin zu einem vollständigen Überblick über alle Unternehmensstandorte und Vergleiche mit Mitbewerbern.
• Schulungsmanagement: Digitale Lösungen, die Ihrem Unternehmen dabei helfen, das Bewusstsein und die Kompetenzentwicklung der Mitarbeiter in Ihrem gesamten Unternehmen zu managen und sicherzustellen.
• Kompetente Auditoren, die einen pragmatischen Ansatz verfolgen, auf die Bedürfnisse des Kunden hören und gleichzeitig darauf achten, dass die Einhaltung des Standards bewertet wird.
• Kundenmanagementprozesse, die so strukturiert sind, dass sie ein hervorragendes Kundenerlebnis bieten.

DNV bietet zuverlässige und wertschöpfender KI-Assurance-Dienstleistungen an. Basierend auf unserer Rolle als unabhängiger Dritter und unserem Grundsatz, keine Kompromisse bei Qualität und Integrität einzugehen, arbeiten wir mit Kunden zusammen, um sie bei der Bewältigung der Komplexität von KI und den damit verbundenen Herausforderungen zu unterstützen. Gemeinsam mit ihnen stellen wir die notwendige Governance sicher, damit KI-Systeme bereitgestellt werden können, die als sicher, zuverlässig und geschützt gelten.