Wie können Unternehmen ihre Prozesse und Compliance gleichzeitig im Blick behalten? Wie lassen sich Veränderungen frühzeitig simulieren, statt erst auf Probleme zu reagieren? Und wie kann KI dabei helfen, Entscheidungen nachvollziehbar und sicher zu treffen?“ Sophia Eastman, Chief Product Officer (CPO) des CISPA-geförderten Startups Xpect, hat im Interview Antworten auf diese Fragen. Sie erklärt, wie ihre Plattform Unternehmen ein digitales Betriebssystem bietet, das Prozesse, Rollen, Risiken, Ressourcen und regulatorische Anforderungen in einem vernetzten digitalen Zwilling abbildet. Anders als klassische Anbieter analysiert Xpect Prozesse nicht isoliert, sondern verknüpft sie systematisch mit Zielen, Kontrollen und Compliance-Vorgaben. So entsteht nicht nur ein klares Bild davon, wie ein Unternehmen arbeitet, sondern auch die Möglichkeit, Abläufe aktiv zu steuern, Risiken frühzeitig zu erkennen und Veränderungen sicher zu simulieren.
Was ist eure Vision bei Xpect und wie unterscheidet ihr euch von anderen Anbietern im Bereich Process Intelligence?
Unsere Vision bei Xpect ist es, das Betriebssystem für die Unternehmensführung zu schaffen. Wir wollen Organisationen in die Lage versetzen, ihre Strukturen, Prozesse, Risiken, Ressourcen und regulatorischen Anforderungen ganzheitlich zu verstehen, kontinuierlich zu überwachen und gezielt zu steuern. Dafür bilden wir Unternehmen als semantischen digitalen Zwilling ab, der nicht nur dokumentiert, wie Prozesse gedacht sind, sondern auch, wie sie tatsächlich gelebt werden.
Der wesentliche Unterschied zu klassischen Process-Intelligence- oder Process-Mining-Anbietern liegt darin, dass wir Prozesse nicht isoliert betrachten. Statt uns ausschließlich auf Event Logs oder operative Kennzahlen zu stützen, verknüpfen wir Prozesse systematisch mit Zielen, Rollen, Qualifikationen, Risiken, Kontrollen und regulatorischen Vorgaben. Dadurch entsteht ein konsistentes Gesamtbild, das sowohl operative Steuerung als auch Governance-, Risk- und Compliance-Fragestellungen unterstützt.
Während viele Lösungen Transparenz schaffen, geht Xpect einen Schritt weiter: Wir ermöglichen es, Auswirkungen von Veränderungen – etwa neuer Regulierung, organisatorischer Anpassungen oder Ressourcenengpässen – vorab zu simulieren und automatisiert zu bewerten. Compliance wird damit von einem reaktiven Prüfprozess zu einem kontinuierlichen, integrierten Bestandteil der Unternehmenssteuerung.
Welche Technologien und KI-Methoden setzt ihr ein, um Prozessmodelle mit realen Abläufen abzugleichen?
Xpect setzt auf einen hybriden KI-Ansatz, der die Stärken moderner generativer KI mit symbolischer KI, formaler Logik und Wissensgraphen kombiniert. Das Fundament bildet eine eigens entwickelte Ontologie, die zentrale Unternehmenskonzepte wie Prozesse, Rollen, Ressourcen, Risiken, Kontrollen und regulatorische Anforderungen formal beschreibt und miteinander in Beziehung setzt.
Auf dieser Basis nutzen wir generative KI, um Wissen aus unterschiedlichsten Quellen zu extrahieren – etwa aus Prozessbeschreibungen, internen Dokumenten, Prüfungsunterlagen oder sogar Videos und Interviews. Entscheidend ist dabei, dass diese Extraktion nicht unkontrolliert erfolgt, sondern stets „informiert“ durch die Ontologie gesteuert wird. Die KI weiß also, wonach sie sucht, und ordnet neue Informationen direkt in bekannte Strukturen ein.
Der Abgleich zwischen modellierten Prozessen und Regulatorik erfolgt anschließend über logikbasierte Inferenzverfahren. So können wir erkennen, wo Regeln verletzt werden oder wo Informationen fehlen. Durch diese Kombination bleibt der Einsatz von KI erklärbar, nachvollziehbar und für sensible Anwendungsfälle wie Audit oder GRC geeignet.
Kannst du ein Beispiel nennen, wie Unternehmen durch euren Ansatz konkrete Verbesserungen wie Effizienzsteigerung oder Kostenersparnis erzielen konnten?
Ein sehr konkretes Beispiel ist XactAudit, eine auf Xpect-Technologie basierende Lösung für die risikoorientierte Jahresabschlussprüfung, die unter anderem bei der Wirtschaftsprüfungsgesellschaft Dornbach im Einsatz ist. Dort führt XactAudit zu einer Effizienzsteigerung von bis zu 30 % in der Prüfungsplanung und -durchführung.
Der Mehrwert entsteht dadurch, dass Prozesse, Risiken, Kontrollen und Prüfungshandlungen systematisch miteinander verknüpft werden. XactAudit automatisiert insbesondere die komplexen Abhängigkeiten, die sich aus dem ISA [DE] 315 ergeben, und stellt einen durchgängigen, nachvollziehbaren „roten Faden“ in der Prüfungsstrategie sicher. Prüfer können sich stärker auf wesentliche Risiken und Prüffelder konzentrieren, während unnötige oder redundante Prüfungshandlungen reduziert werden.
Neben der reinen Zeitersparnis profitieren die Anwender auch von einer deutlich verbesserten Dokumentationsqualität und Transparenz. Risiken, Kontrollen und Entscheidungen sind jederzeit nachvollziehbar, was nicht nur die Effizienz steigert, sondern auch die Prüfungsqualität insgesamt erhöht.
Welche Stolpersteine begegnen euch bei der Einführung eurer Lösung in Unternehmen, sei es technisch, organisatorisch oder kulturell?
Technisch sehen wir häufig heterogene und unvollständige Datenlandschaften sowie eine historisch gewachsene, inkonsistente Prozessdokumentation. Organisatorisch sind Wissen und Verantwortung oft stark in Silos verteilt, etwa zwischen Fachbereichen, Compliance, IT und Management.
Kulturell ist insbesondere im GRC- und Audit-Umfeld eine gewisse Skepsis gegenüber KI verbreitet, vor allem wenn Entscheidungen nicht nachvollziehbar erscheinen. Genau hier setzt unser Ansatz an: Wir ermöglichen einen inkrementellen Einstieg mit vorlagenbasierter Datenerfassung und schaffen bereits sehr früh einen messbaren Nutzen. Gleichzeitig bleibt die fachliche Kontrolle jederzeit beim Menschen, da alle Ergebnisse erklärbar und prüfbar sind.
Wie stellt ihr sicher, dass sensible Unternehmensdaten geschützt bleiben und gleichzeitig die Nachvollziehbarkeit eurer Ergebnisse gewährleistet ist?
Der Schutz sensibler Unternehmensdaten ist für uns eine grundlegende Voraussetzung, insbesondere weil wir in hochsensiblen Bereichen wie Compliance, Audit und Risikomanagement arbeiten. Deshalb ist Xpect konsequent als On-Premise-Lösung konzipiert. Unsere Software kann vollständig auf der eigenen Infrastruktur des Kunden betrieben werden – auf eigener Hardware oder in einer kundeneigenen Private-Cloud. Unternehmensdaten verlassen dabei zu keinem Zeitpunkt das Unternehmen und werden nicht an uns oder externe Dritte übertragen.
Diese Architektur stellt sicher, dass alle Compliance-relevanten Informationen dort bleiben, wo sie hingehören: beim Unternehmen selbst. Gerade in regulierten Umfeldern ist das ein entscheidender Unterschied zu vielen cloudbasierten KI-Lösungen, bei denen Daten zumindest temporär extern verarbeitet werden. Für unsere Kunden bedeutet das maximale Kontrolle, Datensouveränität und die Einhaltung interner sowie regulatorischer Datenschutzanforderungen.
Gleichzeitig legen wir großen Wert auf die Nachvollziehbarkeit und Erklärbarkeit unserer Ergebnisse. KI wird bei Xpect nicht als Black Box eingesetzt, sondern ist stets in einen strukturierten Wissensgraphen und formale Logik eingebettet. Analysen, Risikobewertungen oder Empfehlungen lassen sich jederzeit auf konkrete Regeln, Prozesszusammenhänge und zugrunde liegende Informationen zurückführen. So können Anwender transparent nachvollziehen, warum ein Risiko identifiziert wurde, welche Regel verletzt ist oder welche Annahmen zu einer bestimmten Schlussfolgerung geführt haben – ein entscheidender Faktor für Vertrauen und Akzeptanz in sensiblen Unternehmensbereichen.
Wie flexibel ist eure Lösung für unterschiedliche Unternehmensgrößen und Branchen und wie leicht lässt sie sich anpassen?
Die Xpect-Plattform ist bewusst skalierbar und branchenagnostisch konzipiert. Kleine und mittlere Unternehmen können mit einfachen Prozessmodellen oder vordefinierten Vorlagen starten und so schnell Transparenz gewinnen. Größere Organisationen bauen den Wissensgraphen schrittweise zu einem vollständigen digitalen Zwilling aus, der komplexe Strukturen und internationale Anforderungen abbildet.
Branchenspezifische Besonderheiten lassen sich über domänenspezifische Ontologie-Erweiterungen, Prozess- und Risikovorlagen sowie konfigurierbare Regeln abbilden. Dadurch bleibt der Kern der Plattform stabil, während sie sich flexibel an unterschiedliche Kontexte anpassen lässt.
Wie profitiert ihr konkret von der Zusammenarbeit mit dem CISPA Helmholtz-Zentrum für Informationssicherheit, zum Beispiel durch Forschung, Methoden oder Netzwerke?
Die Zusammenarbeit mit dem CISPA ist derzeit vor allem strategisch und netzwerkbasiert. Sie stärkt unsere Position im Umfeld vertrauenswürdiger, erklärbarer und sicherer KI und ermöglicht den Austausch mit führenden Akteuren aus Forschung, Deep Tech und dem öffentlichen Sektor.
Gerade für Anwendungen, bei denen Sicherheit, Verlässlichkeit und Governance eine zentrale Rolle spielen, ist dieses Umfeld sehr wertvoll. Es unterstützt unseren Anspruch, KI nicht nur leistungsfähig, sondern auch verantwortungsvoll und praxistauglich einzusetzen.
Welche nächsten Schritte habt ihr geplant, sei es in der Produktentwicklung, bei Features oder bei der Expansion in neue Märkte?
In der Produktentwicklung liegt unser Fokus darauf, die Extraktion und Strukturierung von Wissen im Wissensgraphen weiter zu verbessern. Ziel ist es, den Einstieg in Xpect noch einfacher zu machen und die Einführungs-Hürde für neue Kunden deutlich zu senken. Je schneller relevantes Wissen strukturiert verfügbar ist, desto früher entsteht Mehrwert.
Parallel dazu verstärken wir in diesem Jahr gezielt Vertrieb und Sales. Mit einem neu aufgebauten Sales-Team gehen wir proaktiv in den Markt, um Xpect und darauf aufbauende Lösungen wie XactAudit breiter zu etablieren. Damit schaffen wir die Grundlage für weiteres Wachstum und die Erschließung zusätzlicher Anwendungsfelder.
Mehr Informationen zu Xpect: xpect.ai
