Wie lässt sich KI im Rahmen der institutsspezifischen KI-Governance einbinden?
Beim Einsatz von KI in Banken sind einige regulatorische Anforderungen zu beachten. Mit dem EU AI Act hat die Europäische Union ein umfassendes Regelwerk geschaffen, das die Entwicklung und Anwendung von KI-Systemen im Finanzsektor gezielt steuert.
Banken müssen sicherstellen, dass ihre KI-Anwendungen transparent, nachvollziehbar und diskriminierungsfrei sind. Die Einhaltung von Datenschutzvorgaben (z. B. DSGVO) sowie die Durchführung von Risikoanalysen und die Dokumentation der eingesetzten KI-Modelle sind zentrale Pflichtbestandteile. Darüber hinaus fordern Aufsichtsbehörden wie die EBA eine klare Governance-Struktur, um Risiken aus dem Einsatz von KI frühzeitig zu erkennen und zu steuern. Die erfolgreiche Integration von KI in Banken setzt daher nicht nur technologische Innovationen, sondern auch ein solides regulatorisches Fundament voraus.
Vor welchen Herausforderungen steht das NFR-Management aktuell?
Durch die gestiegenen regulatorischen Anforderungen und die zunehmende Integration von Non-Financial Risks in die Gesamtbanksteuerung sind die Erwartungen an ein wirksames NFR-Management deutlich gewachsen. In der Praxis zeigt sich, dass viele Institute trotz etablierter Strukturen und Prozesse weiterhin vor strukturellen und operativen Herausforderungen stehen.
Unsere Übersicht in Abbildung 1 zeigt drei zentrale Problemfelder: schlechte Datenqualität, hoher manueller Aufwand und eingeschränkte Objektivität bei Risikobewertungen. Daraus resultieren operative Konsequenzen wie geringe Transparenz, begrenzte Steuerbarkeit, hoher Ressourcenverbrauch und insgesamt eine niedrigere Entscheidungsqualität.
Unzureichende Datenqualität und fragmentierte Datenbasis
Eine der zentralen Herausforderungen liegt in der Erfassung und der Qualität von Schadens- und Risikodaten. Schadensfälle und Risiken werden heterogen durch die dezentrale Aufnahme, unvollständig oder verspätet erfasst. Freitextdominierte Eingaben, fehlende Standardisierung und nicht erkannte Dubletten erschweren eine konsistente Auswertung. Die Datenqualität ist dabei in vielen Aspekten manuell durch das zentrale NFR-Management sicherzustellen.
Zudem sind relevante Informationen über mehrere Systeme verteilt – etwa verschiedene Datenbanken mit Schadensfällen (z. B. Beschwerden, IT-Incidents, Versicherungsfälle), Auditfeststellungen und eine Reihe von weiteren Risikobewertungen aus unterschiedlichen Bereichen. Zu Letzteren zählen beispielsweise die Schutzbedarfsanalyse, die Compliance-Risikoanalyse, Risiken aus der Auswirkungsanalyse durch wesentliche Veränderungen an Prozessen, IT-Systemen und der Aufbauorganisation (gemäß AT 8.2 MaRisk) und Risiken aus Drittbezügen gemäß DORA und AT 9 MaRisk. Eine integrierte Sicht entsteht meist nur mit erheblichem manuellem Aufwand, sodass die Datenbasis häufig nicht belastbar genug für fundierte Analysen und eine konsistente Steuerung ist.
Hoher manueller Aufwand und ineffiziente Prozesse
Zentrale Prozesse im NFR-Management, von der Schadensfallerfassung über Self-Assessments bis hin zur Berichterstellung, sind in vielen Instituten weiterhin stark manuell und von der Qualifikation der dezentralen NFR-Manager:innen geprägt. Daten müssen erhoben, konsolidiert und aufbereitet werden. Medienbrüche zwischen Systemen führen zu zusätzlichem Aufwand, wodurch ein erheblicher Teil der verfügbaren Kapazitäten gebunden wird und der Fokus auf Analyse und Steuerung zu kurz kommt.
Begrenzte Objektivität und Aussagekraft von Risikobewertungen
Insbesondere bei Self-Assessments zeigt sich eine hohe Abhängigkeit von subjektiven Einschätzungen. Unterschiede im Risikoverständnis und in der Anwendung von Bewertungsmaßstäben führen zu eingeschränkter Vergleichbarkeit. Freitextbegründungen werden selten systematisch ausgewertet, sodass Inkonsistenzen oder fehlende Aspekte häufig unentdeckt bleiben und die Qualität der Risikobewertungen in vielen Fällen uneinheitlich sowie nur eingeschränkt steuerungsrelevant ist.
BankingHub-Newsletter
Welche Use-Cases gibt es für den Einsatz von KI im NFR-Management?
Die beschriebenen Herausforderungen zeigen, dass viele NFR-Prozesse heute noch stark durch manuelle Tätigkeiten, fragmentierte Datenstrukturen und subjektive Bewertungen geprägt sind. Gleichzeitig machen sie deutlich, dass genau hier erhebliche Potenziale für den Einsatz von künstlicher Intelligenz liegen – insbesondere bei der Verarbeitung unstrukturierter Daten, der Automatisierung von Prozessen und der Verbesserung von Entscheidungsgrundlagen.
KI-gestützte Erhebung und Qualitätssicherung von Schadensfällen
Die Erfassung von Schadensfällen ist für zentrale Prozesse des NFR-Managements wie Self-Assessments von wesentlicher Bedeutung und steht weiterhin im Fokus der Aufsichtsbehörden. In der Praxis erfolgt sie jedoch häufig manuell sowie unter hohem Aufwand für die Fachbereiche und entsprechend für die Qualitätssicherung durch das zentrale NFR-Management.
Künstliche Intelligenz kann hier an mehreren Stellen unterstützen: Durch den Einsatz von KI werden relevante Informationen automatisiert aus E-Mails eines gesondert hierfür eingerichteten Postfachs, PDFs oder Tickets extrahiert und strukturiert aufbereitet. Gleichzeitig führt die KI Plausibilitätsprüfungen hinsichtlich der Korrektheit der Datenfelder durch, beispielsweise der Risikotaxonomie, der Ereignis- und Ursachenkategorie basierend auf der Beschreibung sowie der Erkennung von Dubletten oder Einzelschadensfällen, die zu einem Sammelschaden gehören.
Auf diese Weise verbessert sich nicht nur die Datenqualität der Schadensfalldatenbank signifikant, sondern auch die Grundlage für weiterführende Ursachen- und Portfolioanalysen bezüglich der Schadensfälle.
KI-gestützte Self-Assessments
Self-Assessments stellen weiterhin ein zentrales Instrument im NFR-Management dar, um die zukunftsorientierte Analyse des NFR-Profils zu unterstützen, weisen jedoch durch die Verwendung von Experteneinschätzungen eine hohe Subjektivität auf.
KI kann hier als „intelligente Unterstützung“ fungieren: Basierend auf historischen Schadensfällen, weiteren internen Daten aus anderen 2nd-Line-Funktionen und auch der Revision sowie aus externen Quellen (z. B. Pressemeldungen zu externen Schadensfällen oder regulatorische Entwicklungen) können relevante Risiken vorgeschlagen und initial unter Anwendung der jeweiligen Bewertungsmethodik des Instituts bewertet werden. Gleichzeitig analysiert die KI die Begründungen der Experteneinschätzungen und schlägt Verbesserungen zur Erhöhung der Nachvollziehbarkeit der Dokumentation vor. Zusätzlich lassen sich Vergleiche zwischen Organisationseinheiten, Produkten oder Prozessen durch den Einsatz von KI erstellen, um eine einheitlichere Bewertungsgrundlage zu schaffen.
KI-gestützte Erstellung von Risikoberichten
Die Erstellung von Risikoberichten ist häufig durch manuelle Datenaggregation und fragmentierte Informationsquellen geprägt, wodurch viel Zeit in die Aufbereitung anstelle der eigentlichen Analyse investiert wird.
Künstliche Intelligenz kann hier die Datenaufbereitung deutlich vereinfachen: Aufbauend auf Informationen aus unterschiedlichen Quellen, etwa Schadensfalldatenbanken, KRIs, Auditfeststellungen oder Risikobewertungen, die beispielsweise in Form eines Dashboards/Templates aufbereitet sind, generiert die KI initiale Entwürfe für Kommentierungen und das Management-Summary. Dabei identifiziert die KI automatisch Auffälligkeiten, Trends oder Ausreißer und hebt diese gezielt hervor, sodass Berichte nicht nur schneller erstellt werden können, sondern auch inhaltlich entscheidungsrelevanter sind.
KI-gestützte NFR-Schulungen
Schulungen im Bereich der Non-Financial Risks sind essenziell, da die Qualität entscheidend von der Qualifikation der dezentralen NFR-Verantwortlichen abhängt. Folienbasierte Schulungsunterlagen können mit geringem Aufwand mittels KI vertont werden. Dies umfasst die automatisierte Erstellung eines Sprechermanuskripts sowie die Vertonung in gesprochener Sprache selbst. So können diese Schulungsunterlagen als Video und damit als besseres Nachschlagewerk im Intranet veröffentlicht werden.
Das folgende Video ist ein Auszug aus einer Schulungsunterlage mit einem Umfang von mehr als 30 Folien. Innerhalb weniger Stunden wurden dafür die Sprechertexte erstellt, reviewt und die Vertonung ausschließlich mit dem Einsatz von Copilot umgesetzt.
NFR-Webinar KI-Schulung:
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenWelche KI-bezogenen Risiken müssen als Teil der Non-Financial Risks beachtet werden?
Neben den Chancen des KI-Einsatzes sind auch die damit verbundenen Risiken zu identifizieren und systematisch in das Management von Non-Financial Risks einzubinden. Dabei sind KI-bezogene Risiken aus unserer Sicht keine eigenständige Risikoart, sondern ein Risikotreiber, der bestehende Non-Financial Risks verstärken, verändern oder neu ausprägen kann.
Je nach Anwendungsfall und Ausgestaltung kann KI insbesondere auf die NFR Modell-, Compliance-, IKT-, Drittparteien- sowie Reputationsrisiken einzahlen. Ursachen sind unter anderem mangelnde Transparenz und Kontrollmöglichkeit bei der Ergebnisgenerierung, fehlerhafte oder rechtswidrige Daten, neue Angriffsmöglichkeiten und Abhängigkeiten von externen KI-Anbietern. Für Institute bedeutet dies, KI-bezogene Risiken nicht losgelöst, sondern integriert im bestehenden NFR-Rahmenwerk zu identifizieren, zu bewerten und zu steuern.
In der Abbildung 2 strukturiereren wir KI‑Risiken entlang zentraler Kategorien wie Personal‑, Modell‑, Compliance‑, Rechts‑, IKT‑ und Drittparteirisiken und ordnen ihnen konkrete Ursachen zu. Im Fokus stehen insbesondere fehlende Kompetenzen, mangelnde Transparenz, unzureichende Governance sowie Sicherheits‑ und Abhängigkeitsrisiken im Umgang mit KI-Systemen.
Was sind unsere Handlungsempfehlungen?
Für Banken rückt die Frage in den Vordergrund, in welchen Anwendungsfeldern KI fachlich sinnvoll, regulatorisch vertretbar und organisatorisch beherrschbar eingesetzt werden kann. Dies bedeutet: Erfolgreich werden vor allem die Institute sein, die KI nicht nur zur punktuellen Automatisierung nutzen, sondern gezielt in ihre bestehende Governance-, Daten- und Prozesslandschaft einbetten.
Gerade im NFR-Management liegt das Potenzial in der Kombination aus einer strukturierten Datenbasis, standardisierten Prozessen, klaren Verantwortlichkeiten und einer kontrollierten Nutzung von KI. Künstliche Intelligenz wird dabei zunehmend zu einem Hebel für ein vorausschauendes, konsistentes und stärker datenbasiertes Management von Non-Financial Risks.
Vor diesem Hintergrund lassen sich für Banken drei zentrale Handlungsempfehlungen ableiten:
- KI-Governance gezielt erweitern: mit klaren Verantwortlichkeiten, Transparenz über relevante Anwendungen sowie Anforderungen an Dokumentation, Validierung und Überwachung
- Daten- und Prozessbasis stärken: als Voraussetzung für belastbare, konsistente und anschlussfähige KI-Anwendungen – nicht nur im NFR-Management
- Use-Cases priorisieren und schrittweise umsetzen: mit Fokus auf fachlichem Mehrwert, beherrschbarem Risiko und operativer Entlastung
Effektives Compliance- und NFR-Management
Unser Team für Compliance & NFR unterstützt Sie beim effektiven Risikomanagement und beim Aufbau einer nachhaltigen Risikokultur.
Unser Team
Mit ganzheitlichem Ansatz, digitalen Tools und datenbasierten Methoden bieten wir maßgeschneiderte, zukunftssichere Lösungen.
Risiken verstehen, steuern und minimieren
Durch die enge Verzahnung von Compliance und NFR bieten wir integrierte, präventiv ausgerichtete Maßnahmen.
