Im Finanzgeschäft der Schweiz – also im Bereich der Banken und Versicherungen – wird Künstliche Intelligenz immer stärker genutzt. So wird beispielsweise in den Bereichen der Handelsüberwachung, der Fraud Detection, der Kreditrisiko-Beurteilung oder der Geldwäschereibekämpfung auf neue, KI-gestützte Systeme vertraut. Gemäss FINMA Aufsichtsmitteilung 08/2024 erwartet diese «von beaufsichtigten Instituten, die KI einsetzen, dass sie die Auswirkungen dieses Einsatzes auf ihr Risikoprofil aktiv berücksichtigen und ihre Governance, ihr Risikomanagement und ihre Kontrollsysteme entsprechend ausrichten.» Lesen Sie hier, wie Unternehmen diese Entwicklung mitmachen und mitgestalten und Innovation mit den Unternehmensrisiken im Gleichgewicht halten können.

Was bedeutet das für Ihr Unternehmen?

Der Einsatz von KI im Finanzbereich ist bisher noch nicht stark reguliert. Dies wird sich nun jedoch ändern. So hat die FINMA mit ihrer Aufsichtsmitteilung 08/2024 ihre Erwartungshaltung an die Unternehmen beim Einsatz von KI klar definiert und publiziert. Auch die EU ist nicht untätig geblieben und hat den EU AI Act beschlossen. Nicht zuletzt hat sich der Bundesrat am 12. Februar 2025 dafür ausgesprochen, die KI-Konvention des Europarats zu ratifizieren und das Schweizer Recht entsprechend anzupassen. Man kann erwarten, dass sich dieser Trend zur Regulierung der KI fortsetzen und akzentuieren wird.

Bei einer genaueren Prüfung dieser Vorgaben werden die Schwerpunkte klar; sie liegen in den Bereichen:

• Governance
• Datenqualität
• Testing und Überwachung
• Erklärbarkeit des gewählten KI-Modells

Wir wollen uns die Bedeutung daraus im Folgenden kurz ansehen:

Governance: In diesem Bereich liegt der Fokus auf dem Schutz von Personendaten und der Wahl von KI-Modellen (insbesondere bei Drittanbietern), der Führung eines zentralen KI-Inventars inklusive der Risikoklassifizierung für die KI-Systeme und daraus abgeleiteter Massnahmen, Systemkontrollen und das Management von Drittanbietern. Die KI-Nutzung soll von Anfang an in geordneten Bahnen verlaufen.

Datenqualität: Schwerpunkt sind hier die Vorgaben zur Sicherstellung der Datenqualität von Trainingsdaten und Verarbeitungsergebnissen und den dazu erforderlichen internen Weisungen, da KI-Systeme stark von der Qualität des Trainings und dieses wiederum von der Qualität der Trainingsdaten abhängig sind. Sind die Daten fachlich korrekt? Führen sie zu Fehlinterpretationen? Sind die Daten einseitig gewählt oder stellen sie eine repräsentative Auswahl dar? Erfolgt das Training mit einer ausreichenden Menge an Trainingsdaten?

Test und Überwachung: Dieser Bereich fokussiert stark auf die KI-typischen Funktionen und verlangt KI-spezifische Tests der Verarbeitungen und ihrer Ergebnisse. Die laufende Überwachung stellt dabei sicher, dass Abweichungen sowohl bei den Input- als auch bei den Output-Daten frühzeitig entdeckt und korrigiert werden. Schliesslich verändert sich das System im Laufe der Zeit, und das vielleicht nicht im gewünschten Rahmen. So könnten beispielsweise vom KI-System Entscheidungen plötzlich auf Basis von ethnischen oder politischen Kriterien getroffen werden, was erstens nicht geplant und zweitens nicht erwünscht ist. Das kann die Unternehmensreputation schädigen.

Erklärbarkeit: Mitunter einer der schwierigsten Punkte im Anforderungskatalog, denn er fordert, dass ein angewandtes Modell einer KI von den verantwortlichen Stellen im Unternehmen auch wirklich verstanden wird:

• Welche Regeln gelten in diesem spezifischen KI-System?
• Nach welchen Kriterien werden Daten ausgewählt, Vorgänge gestartet, Schlüsse gezogen, interne Steuerungselemente modifiziert, usw.?

Weitere Schwerpunkte wie die Dokumentation im ganzen Lebenszyklus einer KI-Lösung und auch ihre unabhängige Überprüfung runden das Bild ab.

Die internen Rahmenbedingungen ändern sich

Diese Anforderungen lassen den Schluss zu, dass KI-Projekte keine blossen IT-Projekte mehr sein können. Im Gegenteil, sie bringen neue Risiken und Anforderungen mit sich. Diese schlagen sich bereits in der frühesten Phase der Service-Entwicklung nieder und sind sehr KI-typisch, wie beispielsweise die Modell-Evaluation oder die Wahl der Trainingsdaten, um nur einige zu nennen. Insbesondere die Wesentlichkeit der KI-Anwendung – also ihre Bedeutung für das Unternehmen oder gar die Branche und den Finanzplatz – ist hier wichtig. Aus Sicht des Regulators ist sie das entscheidende Kriterium bei der Beurteilung von Risiken beim KI-Einsatz. Was wären beispielsweise die Auswirkungen auf das Unternehmen, wenn das KI-System für die Kreditvergabe beginnt, nach selbstgelernten, aber ungewollten Kriterien zu entscheiden? Und wie liesse sich dies rechtzeitig erkennen und verhindern?

Die Natur der KI-Technologie löst Anpassungen in vielen Geschäftsprozessen aus. Nebst der erwähnten Service-Entwicklung und der Governance für den Umgang mit IT und Daten findet dies insbesondere im Risiko-Management seinen Niederschlag. Und zwar sowohl auf IT- als auch auf Enterprise Risk-Ebene.

Die Anforderungen an das Risikomanagement steigen

Die heutigen Risikomanagement-Systeme sind nach wie vor anwendbar, aber sie müssen um die KI-relevanten Risiken ergänzt werden. Dies wird zur Folge haben, dass das Risiko-Management anspruchsvoller wird, wenn es um den Umgang mit Risiken einer neuen Technologie im sehr kompetitiven Finanzumfeld geht. Wir sprechen immerhin von einer neuen Schlüsseltechnologie, deren Wirkung und Einfluss heute noch gar nicht richtig eingeschätzt werden kann.

In diesem Lichte betrachtet muss also das Risikomanagement von morgen bereits heute in Angriff genommen werden. Es muss eine aktive Auseinandersetzung mit den Auswirkungen dieser Technologie auf die Governance, die Kontrollsysteme und vor allem das Risikomanagement des Unternehmens stattfinden.

Der Scope des Risiko-Managements wird erweitert

Das Risiko-Management muss sich vor allem um die operativen Risiken des KI-Einsatzes kümmern:

1. um den IT-spezifischen klassischen Bereich der IT-Infrastruktur und der IT-Security, wo IT und Cyber-Risiken im Vordergrund stehen. In diesem Bereich dürften viele relevante Risiken bereits heute adressiert sein, da die KI auf gewohnter Infrastruktur aufbaut. Man bewegt sich auf bekanntem Terrain.
2. um den KI-spezifischen Bereich. Dieser umfasst wie aufgezeigt besonders Modellrisiken (Robustheit, Korrektheit, Bias, Erklärbarkeit) sowie erweiterte Abhängigkeiten im Zusammenhang mit Drittparteien und Cloud-Anbietern. Die Regelung von Verantwortlichkeiten sowie Rechts- und Reputationsrisiken erhalten neues Gewicht.

Stark in den Vordergrund rückt auch der Aspekt der Überwachung der KI-Anwendungen und insbesondere ihrer Arbeitsresultate. Dieses Monitoring muss massgeblich umfangreicher sein. Sind in den klassischen Anwendungen im Normalbetrieb die Resultate bei gleichen Inputdaten immer identisch, können sie sich bei einer KI-Anwendung durch deren Selbstlernfähigkeit und der Fähigkeit, sich autonom weiterzuentwickeln, voneinander unterscheiden. Und der Grund dafür ist nicht in jedem Fall ersichtlich.

In welche Richtung entwickelt es sich? Ein Zwischenfazit

Wir stehen am Anfang einer Entwicklung; der Einsatz von KI in Unternehmenslösungen wird sich weiter akzentuieren. Um die damit einhergehenden Risiken zu erkennen und richtig mit ihnen umgehen zu können, werden sich die Unternehmen verstärkt damit auseinandersetzen (müssen). Und nicht zuletzt werden die Regulatoren mit der Entwicklung weiterer Vorgaben und Anforderungen fortfahren und eine gewisse «Readiness» der Unternehmen für dieses komplexe Thema voraussetzen.

Aufgrund der Komplexität der neuen Technologie bei gleichzeitiger rascher Verwendung für Produkte und Dienstleistungen besteht beim einen oder anderen Unternehmen ein klarer Handlungsbedarf im Risiko-Management. Schliesslich geht es um die Handhabung einer Technologie, die für viele Unternehmen noch nicht vollständig verständlich ist. Dieser Handlungsbedarf ist aber überschaubar und kann bewältigt werden.

Takeaways

Im Folgenden finden Sie einige universelle Regeln im KI-Bereich, die Sie wahrscheinlich schon angetroffen haben oder antreffen werden. Die Liste erhebt keinen Anspruch auf Vollständigkeit.

• Passen Sie Ihre Governance und das Risiko-Management proaktiv an.
• Glauben Sie Ihrer KI nicht alles; auch KI-Systeme machen Fehler.
• KI-Projekte sind keine blossen IT-Projekte. KI-Risiken sind keine blossen IT-Risiken.
• Verstehen Sie, was Sie implementieren.
• Verwenden Sie KI dort, wo sie echten Nutzen stiftet.
• KI-Systeme sind zwangsläufig dynamisch. Sie können sich selbstständig weiterentwickeln.

Schaffen Sie jetzt die Grundlage für digitale Sicherheit und Resilienz Ihrer durch KI erweiterten IT-Landschaft – und machen Sie Ihr Unternehmen fit für die Herausforderungen der Zukunft. Kontaktieren Sie uns jetzt – Wir beraten Sie kompetent und unverbindlich.

PS: Dieser Beitrag wurde ohne KI geschrieben ;-)