Jedes regulierte Mid-Market-Haus, das wir prüfen, hat Shadow KI: persönliche ChatGPT-Accounts, Browser-Plug-ins, eingebettete Features in SaaS, die das Haus bereits bezahlt, und Contractor-gebaute Workflows, die niemand besitzt. Die meisten zählen zwischen 15 und 50 Werkzeuge, die die Führung nicht kannte. Das Shadow-KI-Audit liefert das Inventar, klassifiziert das Datenexposure und installiert die Governance-Linie.
Das Audit liefert ein strukturiertes Inventar. Es ist nicht eine lange Liste unzusammenhängender Werkzeuge; es sind vier vorhersehbare Klassen, jede mit eigener Governance-Lösung. Jedes Audit benennt, wo das Haus in jeder Klasse steht.
Output am Ende der Readout-Woche: ein Ein-Dokument-Inventar, ein Keep, Fix, oder Kill Verdikt je Werkzeug, ein sequenzierter Remediationsplan und eine Governance-Linie, hinter die das Haus treten kann.
Free-Tier ChatGPT, Claude, Gemini, Perplexity und Browser-seitige KI-Plug-ins, von Mitarbeitern auf vertraulichem Hausmaterial verwendet. Geloggt im persönlichen Account, nicht im Haus. Gefunden über Spesen-Keyword-Suche und strukturierte Mitarbeiterbefragung.
Microsoft 365 Copilot, iManage AI, Salesforce Einstein, HubSpot AI, Zoom AI, Otter, Fireflies. Standardmäßig im SaaS-Vertrag aktiviert, den das Haus bereits bezahlt. Die Datenklausel für das KI-Feature unterscheidet sich meistens vom Basis-SaaS-Vertrag.
Benutzerdefinierte Integrationen, die ein externes LLM-API aufrufen: Formular-Handler-Workflows, Customer-Support-Automatisierungen, Dokumenten-Klassifizierungs-Jobs. Entwickler hat das Haus verlassen; der Workflow läuft auf demselben API-Key. Der Anbieter hat einen Vertrag mit jemandem, der nicht mehr im Haus ist.
Grammarly, Wispr, Cluely, Notion AI, Microsoft Edge Copilot, Arc Max-Features, Pocket KI-Zusammenfassungen. Jedes berührt Hausinhalte. Keines steht in der IT-Inventur. Erkannt über DNS-Traffic-Analyse und Endpoint-Plug-in-Inventar.
Jedes Werkzeug, Account, eingebettete Feature und Contractor-gebaute Workflow, erkannt über Spesen-, Survey-, Endpoint- und Traffic-Signale. Klassifiziert nach Datenklasse und Eigentümerschaft.
Für jedes Werkzeug ein schriftliches Verdikt gegen die Governance-Linie und den Regulierungsperimeter des Hauses. Begründung dokumentiert, damit die Entscheidung den nächsten Führungswechsel überlebt.
Ein sequenzierter Plan: welche Werkzeuge diese Woche einstellen, welche mit Enterprise-Lizenz oder DPA fixen, welche mit freigegebenen Alternativen ersetzen, welche behalten. Jeder Schritt hat einen benannten Verantwortlichen und eine Durchlauf-Zusage.
Eine Ein-Dokument-Governance-Haltung: freigegebene Werkzeuge je Datenklasse, Sub-Processor-Liste, Anbieter-DPAs, Freigabepfad für neue Werkzeuge und benannter Verantwortlicher. Gebaut, um mit Aufsicht, LP, Mandant oder Auditor auf Anfrage geteilt zu werden.
Fünf parallele Kanäle: Spesen-Keyword-Suche über 12 Monate (ChatGPT, Claude, OpenAI, Anthropic, Perplexity, Copilot), strukturierte anonyme Mitarbeiterbefragung, Endpoint-Browser-Plug-in-Inventar, SaaS-Vertrags-Durchgang für eingebettete KI-Features und DNS-Traffic-Sample. Die fünf zusammen finden typischerweise 15 bis 50 Werkzeuge, wo die Führung fünf schätzte.
Die Befragung wird als Entdeckung positioniert, nicht als Durchsetzung. Das Versprechen: aktuelle Werkzeuge werden nicht bestraft; nur künftige außerhalb der Governance-Linie. Die Kooperationsrate ist hoch, wenn die Führung den Wandel direkt kommuniziert und das Audit schnell läuft. Wo die Kooperation niedrig ist, liefern die anderen vier Kanäle dennoch ein verteidigbares Inventar.
Das KI Operating Audit deckt Governance, Durchsatz und Werkzeug-Inventar im ganzen Haus ab. Das Shadow-KI-Audit ist dasselbe Mandat, gezielt auf nicht freigegebenen Einsatz ausgerichtet: gewichtet Detektion und Inventar stärker, Remediation etwas leichter. Die meisten Häuser stellen fest, dass das, was als Shadow-KI-Audit beginnt, in Woche drei zum vollen KI Operating Audit wird, weil das Inventar der Einstieg in die restliche Arbeit ist.
Zwei bis sechs Wochen, je nach Hausgröße und Einheiten. Standard-Shadow-KI-Audit für ein Haus ab 15.000 USD. Die meisten Häuser gehen danach in das Fractional CAIO Retainer über, beziffert im Audit-Readout.
Jedes Mandat beginnt mit einer kurzen Passungsprüfung und dem Shadow-KI-Audit. Die meisten Häuser gehen von dort aus in das KI Operating Partner Mandat über. Gibt es keine starke beidseitige Passung, sagen wir es Ihnen direkt.