„Die Qualität der Frage bestimmt die der Antwort“

Macht generative Künstliche Intelligenz (KI) die SAP-Beratung überflüssig? Welche Potenziale bietet KI im Bereich Governance, Risk und Compliance (GRC)? Wie sehen konkrete Anwendungs­fälle aus, und gibt es eine Formel für richtig gute Befehle? Das hat die blaupause-Redaktion keine KI gefragt, sondern Andreas Fritz, Senior Manager bei der adesso orange AG.

Wie kamen Sie auf die Idee, ChatGPT für den Bereich GRC anzuwenden?

Welche konkreten Potenziale sehen Sie im Bereich GRC durch generative KI?

Generative KI bietet neue Möglichkeiten, Arbeitsabläufe zu automatisieren, zu erweitern und zu beschleunigen. Mit ihrer Hilfe können Fähigkeiten und Reichweite erweitert werden, indem die Art und Weise, wie Arbeit erledigt wird, neu definiert wird. Maschinelles Lernen (ML) hilft schon lange bei der Analyse von Daten und der Vorhersage von Ergebnissen. Aber die Einführung generativer KI hebt diese Leistung auf eine neue Ebene. Konkret: Generative KI ermöglicht es, ohne ein konkretes KI-Modell allgemein Anfragen zu stellen und Antworten zu bekommen. Dadurch sind alle Daten als Kontext möglich und die Art der Anfragen unlimitiert. Es gilt: Je konkreter ich Anfragen formuliere, desto bessere Antworten erhalte ich. Es können Assoziationen zwischen Daten genutzt werden, die vorher nicht möglich waren. Daten zu analysieren, Entscheidungen immer schneller zu treffen, sind Themen, bei denen wir eine Flut von Informationen zusammenfassen und filtern müssen. Ich nutze ChatGPT, um den kreativen Prozess zu beschleunigen.

Was meinen Sie damit ganz konkret?

Ich nutze generative KI z. B. dafür, dass sie mir drei Vorschläge für eine IT-Kontrolle macht oder ein Inhaltsverzeichnis für ein Berechtigungskonzept erstellt. Dann erhalte ich Hinweise, auf die ich teilweise nicht gekommen wäre. Natürlich muss ich die Ideen noch inhaltlich bewerten, aber sie können den inhaltlichen Teil meines GRC-Systems bereichern. Im SAP-Kontext sind die Möglichkeiten für generative KI enorm groß, sobald ich diese einmal an das System angeschlossen habe. Weitere Beispiele sind, dass die KI für mich Fragen für ein Audit, für eine Risiko-Kontrollmatrix oder für das Recruiting von Kandidatinnen und Kandidaten formuliert. Hier muss aber jedem klar sein: Die Qualität der Fragen bestimmt die Qualität der Antworten.

Hier sprechen Sie „Prompt Engineering“ (siehe Glossar) an. Was hat es damit auf sich und welche Rolle spielen „Prompting“ und „Priming“ im KI-Kontext?

Vereinfacht geht es darum, die richtigen Worte zu finden, um mit guten Befehlen noch bessere Ergebnisse zu bekommen. Dazu muss man allerdings verstehen, wie eine generative KI arbeitet. Beim Priming geht es darum, dass die KI das, was eingegeben und erarbeitet wurde, als Historie bzw. Input nehmen kann für kommende Abfragen. Wenn ich der KI einen Kontext oder eine Rolle gebe und z. B. sage, „Du bist ein IT-Auditor und du hast 20 Jahre Erfahrung in der SAP-Prüfung sowie dieses und jenes gemacht“, ist schon ein Stück weit vorgegeben, welchen Weg das Ganze gehen wird. Wenn ich dann noch Adjektive und Adverbien hinzufüge und eine freche, eine emotionale und eine innovative Variante anfordere, bekomme ich das Ergebnis gleich in verschiedenen Stimmungen. Hier picke ich dann die besten Elemente raus.

Sie nutzen ChatGPT am Beispiel von SAP-Anwendungen. Wie sieht das konkret aus?

Welche zusätzlichen Anwendungsfälle sind darüber hinaus darstellbar?

KI kann unbekannten Code kommentieren oder erklären und die Kommentare in der jeweiligen Code-Zeile ergänzen. Es ist auch möglich, Code umzuformulieren. Allerdings immer nur in sehr kleinen Kontexten. Gleichermaßen kann man sich objektorientiert mit Klassen eine Anwendung modellieren, das als XML-Format ausgeben lassen und anschließend in ChatGPT eingeben, um sich wiederum die Klassen in ABAP und die Methoden dazu schreiben zu lassen. Hier kriegt man ein Code-Konstrukt, das man sonst erst selbst erzeugen müsste. Weitere Anwendungsfälle sind z. B. Risikoerklärungen und Ratings, Nachfrage nach IT-Produkten, Entwürfe für Policies, Kontrolle von Inhalten, die Auslegung von Gesetzen und Vorschriften sowie Übersetzungen in andere Sprachen. Ich kann mir Regularien erzeugen lassen, wie eine Dienstwagenrichtlinie oder Kontrollinhalte auf bestimmte Risiken hin beschreiben lassen, die aus verschiedenen Funktionen entstehen. Wichtig ist dabei, immer datenschutzkonform vorzugehen.

Wie kann ein Kontrollinhalt aussehen?

Davon ausgehend, dass ich anonymisierte User:innen-Daten vorliegen habe, kann ich eine Datei mit den Benutzer:innen sowie mit deren Rollen und Berechtigungen weitergeben und auf Konflikte im Finanzumfeld prüfen lassen. Ein Klassiker ist hier, wenn jemand beispielsweise einen Lieferanten anlegen und für diesen eine Zahlung freigeben kann. Dann könnte die Person z. B. den Onkel als Lieferanten anlegen und ihm eine Überweisung ausstellen. Hier könnte mich die generative KI auf den Konflikt hinweisen und ich die Berechtigungen entsprechend anpassen.

Ist damit schon das Ende erreicht?

Nein, denn die Reise könnte dahin gehen, dass man SAP-Anwendungen über die Business Technology Platform (BTP) mit generativer KI verbindet, um Auswertungen zu machen, Vorschläge zu generieren oder Prompts bauen zu lassen, um in der Logistik z. B. Anfragedokumente zu erzeugen oder Interaktionen mit Geschäftspartnern einzugehen, die Text erfordern. Richtig spannend wird es, wenn wir generative KI an die SAP-Systeme anschließen.

Was ist eine Formel für richtig gute Befehle?

Ich gebe ChatGPT erst eine Rolle mit, wo ich erläutere, vor welchem Hintergrund der Inhalt entstehen soll. Dann gebe ich einen Befehl mit Kontext, Zielgruppe und im besten Fall Beispielen sowie der konkreten Aufgabe inklusive des Ausgabeformats und der gewünschten Konnotation mit. Wenn ich für jede Rolle einen Chat eröffne, habe ich irgendwann z. B. einen eigenen künstlichen SAP-Recruiting- und einen Risk-Management-Experten.

Welche Risiken birgt generative KI?

Generative KI schöpft aus bereits existierenden Inhalten und setzt diese neu zusammen. Hier entsteht interessanter Input, aber keine bahnbrechenden und keine unfehlbaren Empfehlungen. ChatGPT hat anfangs stark halluziniert bei fehlenden Daten und diese selbstsicher wiedergegeben. Man kann die Antworten als kreativen Input nehmen, aber sie müssen kritisch geprüft werden. Zudem gibt es ethische Grenzen. Ich glaube, dass man einer KI nur schwer Ethik mitgeben kann und wenn, dann übernimmt die KI exakt die, die ich ihr vorgebe. Zudem ist das Urheberrecht solch generierter Inhalte nicht geklärt: Gehören diese den eigentlichen Urhebern, ChatGPT oder mir als Nutzer? Auch personenbezogene Daten hochzuladen, ist nicht empfehlenswert.

Wird ChatGPT die SAP-Beratung zukünftig vielleicht sogar überflüssig machen?

Generative KI wird die Beratung ergänzen, aber nicht ersetzen. Sie wird ein Werkzeug, mit dem wir besser und schneller agieren können. Ob wir dadurch auch qualitativ besser arbeiten werden, wird sich zeigen.

Welche Tipps haben Sie für andere, die ChatGPT für GRC verwenden möchten?

Es lohnt sich, sich mit dem Thema auseinanderzusetzen – natürlich nicht nur mit ChatGPT. Es gibt z. B. auch generative KI von Google oder von Aleph Alpha. Am besten tauchen Sie erst einmal ein, experimentieren und testen, wie Sie zu guten Ergebnissen kommen. Natürlich lohnt es sich, ab einem gewissen Zeitpunkt, Expert:innen zu Rate zu ziehen, die schon zwei oder drei Schritte weiter sind. Doch im Kleinen kann man hier bereits gefahrlos selbst viel ausprobieren. Das eigene Passwort hochzuladen, um es von der KI verbessern zu lassen, ist trotzdem keine gute Idee!

Vielen Dank für das Gespräch!