KI und Third-Party Risk Management im Fokus Schweizer Banken
Hallo, Thomas. Eure Studie «Bank-IT und Sourcing» hat in diesem Jahr die Schwerpunktthemen KI und Third-Party Risk Management (TPRM). Wie kam es dazu?
Die Studie wird seit sieben Jahren durchgeführt. In der Umfrage erheben wir immer Grundsatzthemen zum Outsourcing und wählen für jedes Jahr ein bis zwei Schwerpunktthemen aus. Diese richten sich danach, welche Themen als besonders wichtig im Markt wahrgenommen werden.
Das Thema KI ist im Kontext der Studie deshalb interessant, weil KI immer etwas mit Sourcing zu tun hat. Keine Bank kann alle Schritte bezüglich KI selbst im Unternehmen durchführen. Auf der anderen Seite kann man sich auch die Frage stellen, inwieweit KI für den Sourcing-Prozess an sich genutzt wird.
Der Aspekt des Third-Party Risk Management hat von Revisions- und Prüfungsseite her in den letzten Jahren deutlich an Relevanz gewonnen, was ich auch durch meine persönlichen vorherigen Stationen bei der Berner Kantonalbank und der PostFinance bestätigen kann. Ziel der Studie war es, diese beiden Schwerpunkte auch in der Kombination zu beleuchten.
Was waren die jeweils grössten Erkenntnisse oder sogar Überraschungsmomente in beiden Schwerpunkten?
Was sehr auffällig ist und sich in anderen Studien auch schon gezeigt hat: Man hat das Gefühl, alle Banken haben KI im Einsatz, und alle sind schon ganz weit. Wenn man allerdings unter die Motorhaube schaut, dann stellt man fest: Viele Banken sind noch nicht über die Proof-of-Concept-Phase hinaus, und es geht oft noch darum, Erfahrungen zu sammeln. Und wenn KI produktiv eingesetzt wird, dann meist noch nicht in Kernprozessen, wie z. B. der Kreditvergabe.
Zum Third-Party Risk Management: Die Professionalisierung des Risikomanagements von Banken in Bezug auf ihre Dienstleister kommt primär vonseiten des Regulators, insbesondere des FINMA-Rundschreibens 2023/1 zu OpRisk. Aber wir sehen auch, dass über die regulatorische Pflicht hinaus ein Businessnutzen erkannt und proaktiv Initiativen gestartet werden. Spannend war für uns, dass manche Lieferanten und IT-Dienstleister, die zum Teil auch unter die DORA-Regulierung der EU fallen, offenbar noch wenig auf die kommenden Anforderungen vorbereitet sind, welche die Banken an sie stellen werden.
Umgang mit Third-Party Risk Management und regulatorischen Herausforderungen
Schauen wir auf das angesprochene Rundschreiben: Wo sehen die Schweizer Institute Herausforderungen, gerade auch im Vergleich zum EU-Pendant DORA?
Das FINMA-Rundschreiben 2023/1 ist im Vergleich zu DORA eher prinzipienorientiert, was den Banken einen grösseren Ermessensspielraum lässt. Ein Beispiel, das immer wieder diskutiert wird, ist das Thema Inventare. Im Rundschreiben wird festgehalten, dass die Institute Inventare führen sollen, die Hardware, Softwarekomponenten, Ablageorte kritischer Daten usw. umfassen. Hier sollen auch Schnittstellen und externe Dienstleister erfasst werden. Es bleibt jedoch immer ein Ermessensspielraum, da beispielsweise ein Reinigungsservice auch ein externer Dienstleister ist, aber wohl nicht im Inventar geführt wird. Und wie sind Subakkordanten zu behandeln? Es gibt viele solche Fragen, vor denen die Schweizer Institute jetzt stehen.
Sind euch denn Unterschiede zwischen grösseren und kleinen Instituten aufgefallen beim Umgang mit den regulatorischen Herausforderungen im Sourcing?
Die Notwendigkeit eines umfassenden Third-Party Risk Management ist bei grösseren Banken stärker präsent, da dort auch der Druck durch Aufsicht und Prüfungsgesellschaften deutlich höher ist. Kleinere Institute haben weniger Ressourcen, sind eher abwartend unterwegs und verlassen sich auch stärker auf ihre zentralen IT-Dienstleister und deren Steuerung von Subakkordanten. Hier zahlen sich die Vorteile von Single-Sourcing-Strategien aus.
Beim Thema KI lassen sich Unterschiede vor allem auf die verfügbaren Ressourcen zurückführen. Grössere Banken haben tendenziell mehr Ressourcen, entsprechende Stabsstellen und können somit auch leichter etwas ausprobieren.
Motivationen für den Einsatz von KI und Anwendungsfälle
Wie gehen Schweizer Banken das Thema KI generell an? Ist das Vorgehen eher auf einzelne Use-Cases ausgerichtet oder zeigt sich ein strukturiertes, systematisches Vorgehen?
In unseren Interviews hat sich klar das Bild ergeben, dass ein strukturiert systematisches Vorgehen im Sinne einer KI-Strategie nur selten existiert. Ab einer mittleren Institutsgrösse gibt es häufig zumindest eine kombinierte Daten- und KI-Strategie, bei grösseren Instituten dann auch eigene Stabsstellen, die sich u. a. mit KI beschäftigen und einen gewissen Grad an Top-down-Ansätzen ermöglichen. Insgesamt ist aber ersichtlich, dass KI-Projekte noch oft Bottom-up angestossen werden.
Sind die bisherigen KI-Anwendungsfälle bei Schweizer Banken eher effizienzgetrieben oder werden auch vermehrt wachstumsorientierte Use-Cases verfolgt?
Es ist tatsächlich so, dass die typischen Anwendungsfälle bisher effizienzgetrieben sind. Gerade zum Thema Mitarbeiterunterstützung haben die meisten Banken Proof of Concepts initiiert, um erste Erfahrungen zu sammeln, beispielsweise zum schnelleren Auffinden von Dokumenten und deren Analyse, aber auch zum automatisierten Übersetzen. An der Kundenschnittstelle sind Banken bisher aber noch – mit Ausnahmen – eher zurückhaltend.
Habt ihr in der Studie auch untersucht, wie hoch die Akzeptanz dieser KI-Anwendungsfälle durch die Bankmitarbeitenden ist? Und gibt es – trotz bisher nur wenig Einsatz im direkten Kundenkontakt – auch von Kundenseite schon ein erstes Stimmungsbild?
Wir haben ein durchweg positives Bild bei den Mitarbeitenden wahrgenommen, da diese die KI-Unterstützung als sinnvollen Helfer im Alltag und nicht als Bedrohung ihres Arbeitsplatzes auffassen. Vermutlich wurden in der Vergangenheit durch die Mitarbeitenden eigenständig KI-Tools genutzt, die nun in einer gesicherten Umgebung offiziell verwendet werden dürfen. Mit Blick auf einen möglichen zukünftigen KI-Einsatz in den unmittelbaren Kernprozessen einer Bank – also z. B. dem Hypothekarprozess – ist aber durchaus eine gewisse Unsicherheit wahrnehmbar, wenn nun dokumentlastige Analysen mit KI in wenigen Minuten anstatt mehreren Stunden durchgeführt werden können.
Auf Kundenseite ist ein interessanter Use-Case beispielsweise der KI-Einsatz bei der Migros Bank, die mit einem Soft-Launch in ausgewählten Bereichen ihrer Homepage Chatanfragen über KI ermöglicht. Die bisherigen positiven Erfahrungen haben dazu geführt, dass automatisiert generierte Antworten nun zum Teil auch in E-Mails eingesetzt werden.
Konntet ihr Erfolgsfaktoren identifizieren, wie Banken ihre Mitarbeitenden zur Arbeit an und mit KI motivieren und befähigen?
Aus der Sicht vieler untersuchter Banken ist es wichtig, die eigenen Mitarbeitenden gezielt an neue KI-Technologie heranzuführen – idealerweise niederschwellig und mit Anwendungen, die ihnen bereits vertraut sind oder die sie bereits aus dem privaten Umfeld kennen. Viele Unternehmen setzen zudem auf Informationskampagnen, etwa mithilfe des Intranets, um über die Nutzungsmöglichkeiten und den Umgang mit KI-basierten Tools zu informieren. Dazu gehören beispielsweise auch «How to Prompt»-Anleitungen.
Gibt es schon erste Aussagen dazu, ob die Nutzenerwartungen dieser unterstützenden Use-Cases tatsächlich eingetreten sind?
Ein konkretes Beispiel für messbare Verbesserungen haben wir bei der UBS gesehen, die aufgrund ihrer Grösse natürlich auch einen entsprechenden Hebel hat. Konkret hat die UBS ihre Website so gestaltet, dass bei der Nutzung der Suchfunktion – z. B. bei der Eingabe von «Adressänderung» – direkt Vorschläge erscheinen, die die Nutzenden gezielt in den richtigen Bereich weiterleiten. Durch diese Massnahme ist es gelungen, das Anfragevolumen im Kundencenter deutlich und messbar zu reduzieren.
BankingHub-Newsletter
Analysen, Artikel sowie Interviews rund um Trends und Innovationen im Banking alle 2-3 Wochen direkt in Ihr Postfach
Nutzung von KI in Kernprozessen
Wenn wir beim KI-Einsatz den Blick in Richtung Kernprozesse von Finanzdienstleistern lenken – wir sprachen vorhin schon kurz über die Kreditvergabe –, ist aus unserer Sicht der Bereich Customer-Relationship-Management (CRM) von hoher Relevanz; immer mehr Provider bieten entsprechende KI-Funktionalitäten in ihren Modulen an. Konntet ihr in der Studie Erkenntnisse zum KI-unterstützten CRM-Einsatz bei Schweizer Banken sammeln?
In der Studie haben wir zu einem solchen Anwendungsfall von der Bank Vontobel berichtet. Dort wird seit einiger Zeit auf KI-gestützte Zusammenfassungen für die Vorbereitung von Kundengesprächen zurückgegriffen, und Kundenfeedback wird automatisiert ins CRM integriert. Den wachsenden Bedarf konnten wir auch im Kontakt mit einem CRM-Anbieter validieren.
Was in Zukunft aus meiner Sicht spannend sein wird, ist das Thema «Ambient Technology», also dass z. B. ein Beratungsgespräch mithilfe von KI im Hintergrund aufgezeichnet wird und die Aufwände zur Erstellung eines Beratungsprotokolls so reduziert werden können. KI wird damit das persönliche Kundengespräch nicht ersetzen. Aber KI bietet das Potenzial, dass sich Kundenberatende stärker auf das eigentliche Gespräch konzentrieren können und die Dokumentation von Nachweispflichten weniger im Vordergrund steht. Auf der anderen Seite könnte sich bei Mitarbeitenden aber auch eine gewisse Vorsicht bei der automatisierten Dokumentation von potenziellen Compliance-Verstössen entwickeln. Wie sich solche Technologien etablieren, werden die kommenden Jahre zeigen.
Eine sehr spannende Erkenntnis der Studie ist, dass gerade einmal 8 % der untersuchten Banken KI in der Kreditverarbeitung einsetzen. Welche Vorbehalte gibt es hier bzw. was verhindert noch einen flächendeckenden Einsatz?
Es ist in der Tat erstaunlich, dass das hohe Nutzenpotenzial von KI im Sinne einer höheren Effizienz bei der Kreditverarbeitung zwar weitgehend anerkannt wird, die Akzeptanz bisher aber recht niedrig erscheint. Das könnte tatsächlich daran liegen, dass eigene Teams und Mitarbeitende eher zurückhaltend sind und die Gefahren wie «KI-Halluzinationen» noch als zu riskant wahrgenommen werden.
Gleichzeitig sehen wir, dass spezialisierte Dienstleister und Plattformen mit KI einen hoch automatisierten Kreditprozess anbieten. Die klassischen Institute sollten kritisch hinterfragen, ob der individuelle und weitgehend manuelle Kreditprozess als Wettbewerbsvorteil so tatsächlich vom Kunden wahrgenommen wird – oder ob nicht doch die Auslagerung auf einen hoch standardisierten, effizienten und ggf. KI-unterstützten Prozess vorteilhaft ist. Dieser ermöglicht im Idealfall, dass sich die gut ausgebildeten Credit Officer auf die Fälle mit hoher Ertragschance konzentrieren können, statt sich mit der Masse der Fälle auseinandersetzen zu müssen. Der «Human in the Loop» fokussiert sich auf die wertschöpfenden Tätigkeiten.
Einfluss von KI auf den Sourcing-Prozess
Eine abschliessende Frage: Wie verändert KI die Art und Weise, wie Sourcing bei Banken durchgeführt und gesteuert wird?
Künstliche Intelligenz wird das Thema Sourcing nicht nur verändern, sondern auch stark vorantreiben. Denn KI funktioniert nicht ohne Sourcing – sei es durch externe Beratende oder durch die Nutzung externer KI-Modelle, die in der Regel nicht im eigenen Haus entwickelt und betrieben werden.
Wir sehen durch KI einen deutlichen Hebel für Automatisierung und Digitalisierung, wie etwa bei Kreditabwicklungsprozessen. Besonders spannend dabei ist, dass KI nicht nur bestehende Prozesse effizienter machen kann, sondern auch dazu anregt, Prozesse ganz neu zu denken. Ein gutes Beispiel dafür ist das «Instant Business Credit»-Modell der UBS, das wir kürzlich in einer Studie zu KMU-Krediten untersucht haben. Im Gegensatz zum klassischen Kreditprozess wird mithilfe von KI das Transaktions- und Zahlungsverhalten bestehender Kunden analysiert, sodass sofort ein Kreditlimit vorgeschlagen wird. Das zeigt: Es geht nicht nur darum, bestehende Prozesse schneller und besser zu machen, sondern auch darum, völlig neue Wege zu gehen – in diesem Sinne ist KI ein echter Enabler für viele Themen.
Ein weiterer Aspekt, den wir eher kritisch sehen – und der auch von der FINMA in ihrer Aufsichtsmitteilung vom Dezember letzten Jahres betont wurde –, betrifft die Risiken im Zusammenhang mit dem Sourcing von KI. Zwar arbeiten viele Institute mit unterschiedlichen Dienstleistern, doch letztlich basieren viele Lösungen auf denselben wenigen Anbietern: den grossen LLM- und Cloud-Plattformen, die KI überhaupt erst ermöglichen.
Das führt zu neuen Risiken – etwa Ausfallrisiken oder Modellrisiken –, die eine ganz neue Dimension erreichen. In unserer Studie haben wir das am Beispiel von CrowdStrike aufgezeigt: Dieser Vorfall im Jahr 2024 hat verdeutlicht, wie weitreichend die Folgen sein können, wenn viele Institute auf dieselbe Technologie setzen. Überträgt man das auf KI, stellt sich die Frage: Was passiert, wenn eines der grossen Modelle plötzlich etwas tut, das niemand beabsichtigt hat? Oder wenn ein Cloud-Anbieter ausfällt und Daten verloren gehen? Solche Szenarien könnten flächendeckende Auswirkungen auf viele Institute haben. Diese Risiken sind neu – und werden durch die zentrale Rolle von KI noch einmal deutlich verstärkt.
Lieber Thomas, ganz herzlichen Dank für diesen interessanten Einblick in die Kernergebnisse eurer Studie. Wir sind schon gespannt, welche Themen sich in den kommenden 12 Monaten als Fokusbereiche für die Studie 2026 herauskristallisieren werden. Bis dahin nutzen wir die Chance, die Felder KI und TPRM aktiv zu gestalten und weiterzuentwickeln. Merci.
