Was bedeuten Third-Party Risk Management und KI für das Banking?

Von Dr. Thomas Fischer, Dr. Urs Blattmann

Das Institut für Finanzdienstleistungen Zug IFZ hat in der diesjährigen Studie zu Bank-IT und Sourcing die Schwerpunktthemen Third-Party Risk Management und Künstliche Intelligenz (KI) untersucht. Dieser Artikel gibt Einblick in die Erkenntnisse aus dem Überschneidungsbereich von Sourcing, Risikomanagement und KI.

Worum geht es in der IFZ-Studie „Bank-IT und Sourcing 2025“?

Die IFZ-Studie „Bank-IT und Sourcing 2025“ wurde im Mai veröffentlicht. Sie basiert auf über 30 Gesprächen mit mehr als 40 Expert:innen sowie einer Umfrage, die 45 Schweizer Retailbanken beantwortet haben. Die Banken, die an der Umfrage teilgenommen haben, lassen sich im Wesentlichen in zwei Kategorien zusammenfassen: 62 Prozent der Banken sind Regionalbanken, Sparkassen oder Raiffeisenbanken, weitere 33 Prozent sind Kantonalbanken. Die Bilanzsumme ist bei 66 Prozent der befragten Banken kleiner als 10 Mrd. Schweizer Franken.

Die Studie Bank-IT und Sourcing des Instituts für Finanzdienstleistungen Zug IFZ zeigt jährlich die aktuellen und zukünftigen Entwicklungen im Outsourcing der Retailbanken auf. Dabei werden u. a. die Auslagerung von Backoffice-Tätigkeiten sowie der Fremdbezug von IT-Leistungen betrachtet. Auch Themen wie Cloud Computing oder Open Banking werden untersucht.

Im vorliegenden Artikel werden die Erkenntnisse aus den beiden diesjährigen Schwerpunktthemen Third-Party Risk Management und Künstliche Intelligenz vorgestellt.

Warum ist Risikomanagement im Sourcing wichtig?

Banken müssen Sourcing-Risiken aktiv überwachen und regulatorische Anforderungen erfüllen.

Das Rundschreiben der Eidgenössischen Finanzmarktaufsicht (FINMA) zu operationellen Risiken und zur Resilienz von Banken unterstreicht die zunehmende Bedeutung des Risikomanagements für Retailbanken. Dies umfasst die Identifikation, Bewertung und Steuerung ausgelagerter Dienstleistungen.

Dabei ist es wichtig, geeignete Kontrollmechanismen zu etablieren, um die Sicherheit und Integrität der Prozesse zu gewährleisten. Das Risikomanagement im Outsourcing wird oftmals auch als Third-Party Risk Management bezeichnet.

FINMA Rundschreiben 2023/1 als größte regulatorische Herausforderung für Banken

Im Rahmen der IFZ-Studie zu Bank-IT und Sourcing wurden die Banken auch nach den größten regulatorischen Herausforderungen im Outsourcing befragt. Hier zeigt sich, dass vor allem das FINMA-Rundschreiben 2023/1 die Schweizer Banken beschäftigt. 94 Prozent der Banken sehen dieses Rundschreiben als große oder sehr große Herausforderung.

Andere regulatorische Vorgaben, wie das FINMA-Rundschreiben 2018/3 oder die Datenschutz-Grundverordnung (DSGVO) bzw. das Datenschutzgesetz (DSG), bringen auch große bis sehr große Herausforderungen mit sich, wie 55 Prozent bzw. 56 Prozent der Banken attestieren.

Interessant ist, dass die EU-Regularien, wie bspw. der Digital Operational Resilience Act (DORA), nur für zwei der Banken (4%) eine große Herausforderung darstellen – für die anderen hingegen lediglich eine geringe oder gar keine. Dies ist darauf zurückzuführen, dass gerade kleine und mittelgroße Banken von EU-Regularien aufgrund ihrer Fokussierung der Geschäftstätigkeit auf den Schweizer Markt nicht betroffen sind.

Die IFZ-Studie „Bank-IT und Sourcing“ zeigt auch auf, dass sich derzeit noch keine einheitliche Organisationsform herauskristallisiert hat, wie das Third-Party (Risk) Management in Banken organisiert wird. Von manchen Banken wird ein zentraler Ansatz verfolgt, während andere eher dezentral organisiert sind.

Zunehmende Bedeutung des Third-Party Risk Managements

Zusammenfassend lässt sich für das Risikomanagement im Outsourcing, das Third-Party Risk Management (TPRM), festhalten, dass das Thema zunehmend an Bedeutung für die Banken gewinnt.

Zu den maßgeblichen Treibern zählen:

  • Technologische Entwicklungen: Neue Technologien wie Cloudcomputing, Blockchain, KI und Quantencomputing beeinflussen einander, was deren Potenziale erhöht – aber auch deren Risiken gegenseitig verstärkt.
  • Fortschreitende Digitalisierung: Die zunehmende Automatisierung und Digitalisierung von Prozessen resultiert in immer höheren Erwartungen der Kund:innen. Dies führt wiederum zu weiterer Digitalisierung und dem Einsatz zusätzlicher digitaler Lösungen, was letztlich erneut die Risiken erhöht.
  • Stärkere Abhängigkeiten: Es zeigt sich, dass bei vielen Banken bzw. deren Lieferanten Lösungen im Einsatz sind, die von wenigen großen Anbietern stammen. Dies erhöht die Abhängigkeit – und damit auch die Risiken.
  • Steigende Cyberrisiken: Der Wettlauf zwischen neuen Sicherheitslösungen und neuen Möglichkeiten, diese zu umgehen, gewinnt – auch durch KI – an Intensität.

Die steigende Bedeutung des TPRM spiegelt sich auch im zunehmenden Interesse von Prüfungsgesellschaften und Regulatoren an diesem Thema wider.

Welche Chancen bietet KI im Sourcing?

Der Einsatz von KI im Sourcing bietet Banken die Chance, ihre Ressourcen gezielter einzusetzen und langfristig durch Effizienzsteigerungen Kosten zu senken. KI-Technologien bieten einen entscheidenden Vorteil, indem sie große Datenmengen schnell und präzise analysieren. Dies erfordert strategische Entscheidungen zur optimalen Nutzung dieser technologischen Innovationen.

Die IFZ-Studie zeigt, welche KI-Anwendungen bei Banken getestet werden bzw. bereits im Einsatz sind und welche Rolle dabei dem Sourcing zukommt. Dabei spielen Faktoren wie Kosten, Effizienzsteigerung und regulatorische Vorgaben eine zentrale Rolle. Insbesondere im Hinblick auf die Anforderungen der Schweizer Finanzmarktaufsicht FINMA im Bereich Governance und Risikomanagement sind klare Richtlinien erforderlich, um operationelle Risiken wie Modellfehler, IT- und Cyberrisiken oder Abhängigkeiten von Drittanbietern zu minimieren.

Zudem wird in der Studie aufgezeigt, welche konkreten Aufgaben durch KI übernommen werden können, etwa im Kontakt mit den Kundinnen und Kunden, in der Prozessautomatisierung oder der Risikoanalyse. Die FINMA hebt hierbei die Bedeutung von Erklärbarkeit, unabhängiger Überprüfung und laufender Überwachung von KI-Modellen hervor, um Transparenz und Kontrolle sicherzustellen.

Wo setzen Banken KI aktuell ein?

Banken setzen heute KI vor allem bei internen Prozessen ein.

Aus der vom IFZ durchgeführten Umfrage geht hervor, dass knapp 70 Prozent der befragten Banken Künstliche Intelligenz (KI) bereits aktiv einsetzen. Der Einsatz konzentriert sich derzeit vor allem auf interne Prozesse in Bereichen wie dem Zahlungsverkehr, der Dokumentenverarbeitung oder der Datenanalyse (Abbildung 1). Es zeichnet sich jedoch ein breiterer Einsatz in allen Bereichen der Bank ab, namentlich auch in der Kundeninteraktion.

KI-Einsatz: Schweizer BankenAbbildung 1: Bereiche, in denen Schweizer Banken aktuell KI einsetzen

I) Unterstützung der Mitarbeitenden durch KI

Die IFZ-Studie zeigt, dass Banken KI häufig für interne Anwendungen wie E-Mail-Antwortvorschläge, Datenaufbereitung oder Dokumentenverarbeitung nutzen, um Mitarbeitende zu entlasten. Besonders bei der Generierung von E-Mail-Antworten, Textzusammenfassungen und Übersetzungen kommt KI vermehrt zum Einsatz. Solche Anwendungen ermöglichen es, repetitive Aufgaben effizienter zu bewältigen und schaffen so Freiräume für anspruchsvollere Tätigkeiten.

II) KI-Chatbots mit Grenzen

Aus der Studie geht auch hervor, dass einige Banken bereits heute kundenseitige KI-Anwendungen einsetzen – wenngleich zurückhaltend, aus Respekt vor möglichen Reputationsrisiken.

Zwei zentrale Vorteile ergeben sich durch den Einsatz von KI-Chatbots:

  • Erstens kann KI einfache Anfragen automatisiert beantworten und so Mitarbeitende entlasten.
  • Zweitens lässt sich KI nahtlos in bestehende Kanäle wie E-Banking oder Mobile Banking integrieren. Besonders verbreitet sind Chatbots, die auf aktuelle Wissensdatenbanken der Banken zugreifen. Gerade bei heiklen Themen bleibt der Mensch derzeit aber noch unersetzlich („Human in the Loop“).

III) KI in der Betrugserkennung

Viele Banken im deutschsprachigen Raum haben Lösungen im Einsatz, die Zahlungstransaktionen auf Verstöße gegen Sanktionslisten oder das Geldwäschereigesetz überprüfen. Bei diesen Prüfungen kommen schnell mehrere zehntausend Fälle pro Tag zusammen, die manuell abgearbeitet werden müssten.

KI-basierte Tools helfen dabei, diese Fälle automatisiert zu überprüfen, zu entscheiden und eine nachvollziehbare Dokumentation sicherstellen, die auch von Regulierungsbehörden akzeptiert wird.

Eine besondere Herausforderung sind die neuen Echtzeitüberweisungen (Instant Payments), bei denen das Zeitfenster für eine Überprüfung enorm klein ist. Auch hier gibt es neue, KI-basierte Anwendungen, die Prüfungen im Millisekundenbereich ermöglichen.

IV) KI in den Kernprozessen der Bank

Die IFZ-Studie stellt auch fest, dass gerade in den Kernprozessen der Banken (Zahlen, Sparen, Finanzieren, Anlegen und Vorsorgen) der Einsatz von KI oft noch in den Anfängen steckt. Einige Banken sind gerade dabei, sich diesbezüglich Gedanken zu machen, bzw. die Planung eines KI-Einsatzes voranzutreiben. Andere haben bereits in gewissen Teilbereichen einen Proof of Concept durchgeführt oder vereinzelt schon eine Lösung in Betrieb genommen.

Wie verändert KI das Bankgeschäft zukünftig?

Effizienzsteigerung, Personalisierung und Sicherheitsrisiken

KI wird das Bankgeschäft tiefgreifend verändern. Einerseits ermöglicht KI effizientere und qualitativ hochwertigere Prozesse, etwa bei der Kreditanalyse oder im Kundenservice. Andererseits eröffnet sie neue Möglichkeiten zur Personalisierung von Dienstleistungen durch die gezielte Auswertung von Kundendaten. Das kann die Kundenbindung deutlich stärken. Die damit einhergehenden wachsenden Sicherheitsrisiken erfordern von den Banken jedoch eine erhöhte Aufmerksamkeit und geeignete Maßnahmen.

Wie hängen KI, Sourcing und Risikomanagement zusammen?

Der Überschneidungsbereich von KI, Sourcing und Risikomanagement manifestiert sich vor allem im Risikomanagement bezüglich des Sourcings von KI.

Dieses Themenfeld hat in den letzten Monaten stark an Bedeutung gewonnen. Einerseits sehen sich die Institute selbst mit den zunehmenden Herausforderungen und Risiken aus dem Sourcing von KI konfrontiert. Andererseits steigen die regulatorischen Anforderungen in diesem Bereich.

Die Schweizer Finanzmarktaufsicht FINMA fasst in ihrer Aufsichtsmitteilung vom 18. Dezember 2024 die Risiken beim Einsatz von KI zusammen. Bezogen auf das zugehörige Risikomanagement im Sourcing von KI fällt hierunter z. B. die steigende Abhängigkeit von Dritten (Cloud-Anbieter, KI-Modelle und zugehörige Infrastruktur). Es bleibt festzuhalten, dass Banken das Risikomanagement in diesem Bereich intensivieren müssen. Dazu gehören der Aufbau einer geeigneten Governance, inklusive Etablierung einer regelmäßigen Überwachung der Lieferanten, sowie Transparenz durch Inventare zu Lieferanten, Verträgen, Cloud- und KI-Lösungen und deren Risikoklassifizierung.

Was sind die wichtigsten Erkenntnisse der Studie?

Zusammenfassend sind die Autoren der IFZ-Studie der Meinung, dass Sourcing für Retailbanken ein wichtiges strategisches Instrument bleibt, wenn es darum geht, die Wertschöpfungskette der Bank sicher und effizient zu organisieren und den Kund:innen einen breiten, qualitativ hochwertigen Service zu bieten.

Der KI-Trend lässt die Relevanz des Sourcings weiter steigen, da Banken für den Einsatz von KI in der Regel externe Anbieter (z.  B. Cloud-, Beratungs- oder Prüfungsfirmen) einbinden. Mit der Relevanz des Sourcing nimmt auch die Professionalisierung in diesem Bereich zu. Dies zeigt sich im Aufbau spezialisierter Organisationseinheiten, wie eines zentralen Third-Party (Risk) Managements. Auch von regulatorischer Seite steigt der Druck zu mehr Transparenz und einem professionelleren Risikomanagement im Outsourcing.

Insgesamt steht mit dem zunehmenden Einsatz von KI nicht nur die einzelne Bank, sondern das gesamte Finanzsystem vor einem tiefgreifenden Wandel, bei dem Vertrauen, Transparenz und Resilienz zu Schlüsselwerten werden.

Sie sollten nun in der Lage sein, über diese zentralen Punkte des Artikels zu sprechen:
  • Warum gewinnt das Third-Party Risk Management im Bankensektor zunehmend an Bedeutung? Die zunehmende Bedeutung des TPRM für technologische Entwicklungen (z. B. Cloudcomputing, Blockchain, KI), die die Risiken gegenseitig verstärken, ist auf folgende Faktoren zurückzuführen: die fortschreitende Digitalisierung, welche höhere Kundenerwartungen und den Einsatz zusätzlicher digitaler Lösungen mit sich bringt, stärkere Abhängigkeiten von wenigen großen Anbietern in der Supply Chain und steigende Cyberrisiken, die durch KI noch intensiviert werden. Auch Regulatoren und Prüfungsgesellschaften zeigen ein wachsendes Interesse am TPRM.
  • Welche regulatorische Anforderung wird von den Banken als größte Herausforderung im Outsourcing betrachtet? Im Rahmen der IFZ-Studie nannten 94 Prozent der befragten Banken das FINMA-Rundschreiben 2023/1 zu operationellen Risiken und zur Resilienz als große oder sehr große Herausforderung im Outsourcing.
  • Wie organisieren Banken das Third-Party (Risk) Management und welche Trends zeichnen sich ab? Die IFZ-Studie zeigt, dass es derzeit noch keine einheitliche Organisationsform für das TPRM in Banken gibt. Einige Banken verfolgen einen zentralen Ansatz, während andere eher dezentral organisiert sind. Es zeichnet sich jedoch eine zunehmende Professionalisierung ab, was sich unter anderem im Aufbau spezialisierter Organisationseinheiten wie einem zentralen Third-Party (Risk) Management manifestiert.
  • In welchen Bereichen setzen Banken heute hauptsächlich KI ein? Aktuell setzen Banken KI vor allem in internen Prozessen aktiv ein. Dazu gehören Bereiche wie der Zahlungsverkehr, die Dokumentenverarbeitung und die Datenanalyse. Es zeichnet sich jedoch ein breiterer Einsatz in allen Bereichen der Bank ab, einschließlich der Kundeninteraktion.
  • Welche konkreten Einsatzmöglichkeiten für KI werden in der Bankbranche gesehen und welche Rolle spielt dabei das Sourcing? KI bietet Banken die Möglichkeit, Ressourcen gezielter einzusetzen und durch Effizienzsteigerungen Kosten zu senken. Konkrete Einsatzmöglichkeiten umfassen die Kundeninteraktion (z. B. Chatbots), die Prozessautomatisierung und die Risikoanalyse (z. B. Betrugserkennung). Der Einsatz von KI ist eng mit Sourcing verbunden, da Banken für KI-Anwendungen oft externe Anbieter (z. B. Cloud-, Beratungs- oder Prüffirmen) einbinden.
  • Welche Risiken sind mit dem Einsatz von KI im Bankwesen verbunden und wie reagiert die FINMA darauf? Mit dem Einsatz von KI im Bankwesen sind operationelle Risiken verbunden, wie Modellfehler, IT- und Cyberrisiken oder Abhängigkeiten von Drittanbietern. Die FINMA fasst in ihrer Aufsichtsmitteilung vom 18. Dezember 2024 die Risiken beim Einsatz von KI zusammen, insbesondere im Hinblick auf die steigende Abhängigkeit von Dritten beim Sourcing von KI. Die FINMA hebt zudem die Bedeutung von Erklärbarkeit, unabhängiger Überprüfung und laufender Überwachung von KI-Modellen hervor, um Transparenz und Kontrolle sicherzustellen. Banken müssen das Risikomanagement in diesem Bereich intensivieren, unter anderem durch eine geeignete Governance und die regelmäßige Überwachung von Lieferanten.
  • Wie verändert KI das Bankgeschäft und welche Auswirkungen hat dies auf Sourcing und Risikomanagement? KI wird das Bankgeschäft tiefgreifend verändern. Sie ermöglicht effizientere Prozesse und neue Möglichkeiten zur Personalisierung von Dienstleistungen. Gleichzeitig erhöhen sich die Sicherheitsrisiken. Der KI-Trend steigert die Relevanz des Sourcings, da Banken für den Einsatz von KI häufig externe Anbieter einbinden. Dies führt zu einer zunehmenden Professionalisierung im Sourcing-Bereich und verstärkt den Druck auf ein professionelleres Risikomanagement im Outsourcing. Vertrauen, Transparenz und Resilienz werden zu Schlüsselwerten in diesem sich wandelnden Finanzsystem.

Die IFZ-Studie Bank-IT und Sourcing 2025 ist hier kostenlos verfügbar: Banking Services – Institut für Finanzdienstleistungen Zug IFZ (hslu.ch).

Ein herzliches Dankeschön gilt unseren Platinsponsoren Accenture, Finnova, Inventx, KPMG und Swisscom sowie den beiden Goldsponsoren Aity und Credit Exchange, deren Unterstützung die Studie erst möglich gemacht hat.

Möchten Sie die Themen mit uns vertiefen?

Dann nehmen Sie mit uns Kontakt auf: thomas.fischer@hslu.ch oder urs.blattmann@hslu.ch.

meist gelesen

meist gelesen
Innovation & Digital

Diskutieren Sie mit

Sprechen Sie uns gerne an!

Dr. Thomas Fischer / Autor BankingHub

Dr. Thomas Fischer

Dozent und Projektleiter am IFZ, Hochschule Luzern
Dr. Urs Blattmann / Autor BankingHub

Dr. Urs Blattmann

Externer Dozent und Projektleiter am IFZ, Hochschule Luzern

Artikel teilen

Mehr zum Thema lesen

meist gelesen

meist gelesen
Innovation & Digital

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Social Media

BankingHub auf LinkedIn BankingHub auf Threads BankingHub auf Instagram BankingHub auf Facebook
Linkedin Threads Instagram Facebook

Kategorien

BankingHub

Jetzt Vorsprung im Banking sichern!
Newsletter abonnieren

BankingHub-Newsletter

Analysen, Artikel sowie Interviews rund um Trends und Innovationen
im Banking alle 2 Wochen direkt in Ihr Postfach