AI Risk Manager.

AI Risk Manager ist die Zertifizierung (PECB / ISACA emerging) für Praktiker, die KI-spezifische Risikoprogramme verantworten: Modellrisiko, Bias, Drift, Transparenz, Drittanbieter-Modellrisiko. Operative Schicht, die ISO 42001 (Systemebene) und den AI Act (regulatorische Ebene) ergänzt. Häufige Ergänzung zu einem CISO oder Lead AI Auditor.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyAI governanceAll entries

Die Einschätzung der Cyber Academy

AI Risk Manager ist die Zertifizierung (PECB / ISACA emerging) für Praktiker, die KI-spezifische Risikoprogramme verantworten: Modellrisiko, Bias, Drift, Transparenz, Drittanbieter-Modellrisiko. Operative Schicht, die ISO 42001 (Systemebene) und den AI Act (regulatorische Ebene) ergänzt. Häufige Ergänzung zu einem CISO oder Lead AI Auditor.

AI Risk Manager ist die operative Rolle und das aufkommende Zertifikat für Personen, die das KI-Risikoprogramm einer Organisation im Tagesgeschäft steuern. Während ISO 42001 das Managementsystem aufsetzt und der EU AI Act die rechtliche Untergrenze festlegt, ist der AI Risk Manager die Person, die diese Rahmenwerke in ein funktionierendes Register überführt: zu erkennen, wo ein Modell versagen kann, zu entscheiden, welche Kontrollen es umgeben, und das Restrisiko an die Leitung zu berichten. Es ist das KI-spezifische Pendant zum Risikomanager der Informationssicherheit und übernimmt den Großteil seiner Methode aus dem klassischen Risikomanagement, ergänzt um die Fehlermodi, die für maschinelles Lernen typisch sind.

Was die Rolle tatsächlich umfasst

Das klassische IT-Risiko fragt, ob ein System verfügbar, vertraulich und integer ist. Das KI-Risiko behält all dies bei und fügt eine Ebene von Fragen hinzu, die herkömmliche Kontrollen nie beantworten mussten. Ein AI Risk Manager arbeitet über den gesamten Modelllebenszyklus hinweg und verantwortet typischerweise die folgenden Risikofamilien.

  • Modellrisiko: Das Modell liegt auf schwer erkennbare Weise falsch, schneidet im Test gut, bei realen Eingaben jedoch schlecht ab oder versagt bei Randfällen unbemerkt.
  • Bias und Fairness: Das Modell erzeugt systematisch schlechtere Ergebnisse für bestimmte Gruppen, die häufig aus den Trainingsdaten übernommen werden.
  • Drift: Eingabedaten oder die reale Welt verändern sich nach der Inbetriebnahme, sodass die Genauigkeit mit der Zeit nachlässt und das Modell Überwachung sowie Auslöser für ein erneutes Training benötigt.
  • Transparenz und Erklärbarkeit: Stakeholder, Auditoren oder Regulierungsbehörden müssen verstehen, wie eine Entscheidung zustande kam, insbesondere bei Anwendungsfällen mit hoher Auswirkung.
  • Risiko durch Dritt- und Lieferkettenmodelle: Foundation-Modelle, APIs und Datensätze, die Sie nicht selbst erstellt haben, für die Sie aber verantwortlich sind.

Wo sie sich im Verhältnis zu ISO 42001 und dem AI Act einordnet

Am klarsten lässt sich die Rolle über Ebenen verorten. Der AI Act ist die regulatorische Ebene, die angibt, welche Pflichten für welche Risikostufe gelten. ISO 42001 ist die Ebene des Managementsystems, die die Governance-Struktur, die Rechenschaftspflicht und den Regelkreis der kontinuierlichen Verbesserung liefert, um diese Pflichten zu erfüllen. Der AI Risk Manager ist die darunterliegende operative Ebene, die die wiederkehrende Bewertungsarbeit leistet, die Nachweise an das AIMS liefert und belegt, dass die Hochrisikopflichten in der Praxis erfüllt werden. Deshalb ist die Rolle in der Regel eine Ergänzung zu einem CISO oder einem Lead AI Auditor und kein Ersatz dafür.

Die KI-Governance-Ebenen und die Rolle des AI Risk Managers
EbeneArtefaktFrage, die sie beantwortet
RegulatorischEU AI ActWelche rechtlichen Pflichten gelten für dieses KI-System?
ManagementsystemISO/IEC 42001 (AIMS)Wie regelt die Organisation den verantwortungsvollen Umgang mit KI?
OperativKI-Risikoregister und KontrollenWo kann dieses Modell versagen und was reduziert dieses Risiko?
AssuranceKI-Audit (z. B. AAIA-Umfang)Funktioniert das Obige wie beabsichtigt?

Die Zertifikatslandschaft

Der Titel konsolidiert sich noch. PECB und ISACA sind die beiden Stellen, die am stärksten mit der Formalisierung von Kompetenz im KI-Risiko verbunden sind, und der Zertifizierungsmarkt ist jünger als bei etablierten Disziplinen wie dem CISA oder dem ISO 27001 Lead Implementer. In der Praxis ist es Arbeitgebern weniger wichtig, welches Abzeichen Sie tragen, als ob Sie eine belastbare KI-Risikobewertung durchführen, ein Kontrollset begründen und Ihre Arbeit auf die Klauseln von ISO 42001 und die Risikostufen des AI Act abbilden können. Betrachten Sie das Zertifikat als Nachweis der Methode, nicht als die Aufgabe selbst.

Frequently asked questions

01Worin unterscheidet sich ein AI Risk Manager von einem allgemeinen IT- oder Sicherheitsrisikomanager?

Dieselbe Kernmethode, größere Risikofläche. Ein AI Risk Manager behält Vertraulichkeit, Integrität und Verfügbarkeit bei, fügt aber modellspezifische Fehlermodi wie Bias, Drift, Lücken in der Erklärbarkeit und das Risiko durch Drittmodelle hinzu, die herkömmliche Sicherheitskontrollen nicht abdecken.

02Muss ISO 42001 vorhanden sein, bevor ich einen AI Risk Manager ernenne?

Nein. Die Rolle ist auch ohne ein formales AIMS nützlich. Allerdings liefert ISO 42001 die Governance-Struktur, in die die Risikoarbeit einfließt, sodass sich beide gegenseitig verstärken und viele Organisationen sie gemeinsam aufbauen.

03Ist der AI Risk Manager eine Audit-Rolle?

Nein. Der Risk Manager baut das Risikoprogramm auf und betreibt es; es zu auditieren ist eine separate, unabhängige Funktion. Ein Zertifikat wie das AAIA deckt die Audit-Seite ab. Beide ergänzen sich und sollten nicht von derselben Person für dasselbe System wahrgenommen werden.

04Welche Zertifizierung sollte ich anstreben?

PECB und ISACA sind die Stellen, die am stärksten mit formaler Ausbildung im KI-Risiko und in der KI-Governance verbunden sind. Wählen Sie auf Basis des Rahmenwerks, mit dem Sie am meisten arbeiten, und Ihrer vorhandenen Zertifizierungen, da Arbeitgeber die nachgewiesene Methode höher gewichten als das konkrete Abzeichen.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.