Die FINMA hat in ihrer Aufsichtsmitteilung 08/2024 zur Governance und zum Risikomanagement beim Einsatz von Künstlicher Intelligenz klare Erwartungen an Finanzunternehmen formuliert. Im Fokus stehen Anforderungen an Governance, Risikomanagement und Compliance, die bisher häufig unzureichend berücksichtigt wurden. Welche konkreten Vorgaben nun gelten und welche Massnahmen Unternehmen er-greifen sollten, erläutern wir in diesem Beitrag.
Der Einsatz von Künstlicher Intelligenz im Finanzsektor hat in den letzten Jahren rasant zugenommen. Während KI-Systeme neue Geschäftsmodelle ermöglichen und zu einer erheblichen Effizienzsteigerung bereits bestehender Prozesse führen, gehen sie zugleich mit erheblichen operationellen, rechtlichen und reputationsbezogenen Risiken einher. Die FINMA trägt dieser Entwicklung Rechnung und formuliert in ihrer Aufsichtsmitteilung 08/2024 klare Anforderungen an Beaufsichtigte, die KI-gestützte Systeme nutzen.
- Keine spezifische KI-Regulierung – aber klare Erwartungen
In der Schweiz gibt es bislang keine spezifische Gesetzgebung für Künstliche Intelligenz. Dennoch unterliegen KI-Anwendungen den allgemeinen aufsichtsrechtlichen Anforderungen der Governance und des Risikomanagements. Die FINMA erwartet daher, dass Beaufsichtigte sich aktiv mit den Risiken der von ihnen eingesetzten KI-Systemen auseinandersetzen und ihre Kontrollmechanismen entsprechend anpassen.
In ihrer Aufsichtsmitteilung 08/2024 stellt die FINMA klar, dass Beaufsichtigte die mit dem Einsatz von KI verbundenen spezifischen Risiken systematisch identifizieren, bewerten und steuern müssen. Nachfolgend werden die von der FINMA genannten möglichen Risiken im Zusammenhang mit dem Einsatz von KI kommentiert und die Anforderungen der FINMA an Finanzdienstleister dargelegt.
- Wesentliche Risikoaspekte laut FINMA
Gemäss der FINMA besteht grundlegend die Gefahr von Modellrisiken, die durch fehlerhafte oder verzerrte Modelle entstehen und zu falschen Entscheidungen führen können. Besonders problematisch sind dabei Verzerrungen (Bias), mangelnde Robustheit sowie eine unzureichende Erklärbarkeit der Modelle.
Darüber hinaus weist die FINMA darauf hin, dass Beaufsichtigte erheblichen IT- und Cybersecurity-Risiken ausgesetzt sind. Der zunehmende Einsatz von Cloud-Diensten und Drittanbietern kann Sicherheitslücken begünstigen und die Abhängigkeit von externen Anbietern erhöhen.
Ein weiteres wesentliches Risiko betrifft die fehlende Transparenz und die mangelnde Erklärbarkeit von KI-gestützten Entscheidungen, was regulatorische und haftungsrechtliche Fragen aufwerfen kann.
- Governance und interne Kontrollsysteme
Aus der Governance-Sicht betont die FINMA, dass Unternehmen klare Strukturen für den Einsatz von KI entwickeln müssen. Dazu gehört einerseits die Führung eines Inventars aller KI-Anwendungen sowie deren systematische Klassifizierung nach Risikostufen. Andererseits müssen die Entscheidungsprozesse der KI-Modelle nachvollziehbar dokumentiert werden.
Ausserdem hält die FINMA fest, dass beim Einsatz externer KI-Dienste klare vertragliche Regelungen zur Haftung und Transparenz unerlässlich sind. Falls Sie bei der Bewältigung dieser Herausforderungen Hilfe benötigen, stehen wir Ihnen gerne zur Verfügung.
- Datenqualität, Dokumentationund Erklärbarkeit
Die FINMA betont, dass die Qualität der verwendeten Daten massgeblich für die Sicherheit und Verlässlichkeit von KI-Modellen ist. Eine unzureichende Kontrolle über Trainingsdaten kann zu fehlerhaften oder verzerrten Ergebnissen führen. Die Korrektheit, Konsistenz, Vollständigkeit sowie die Aktualität der Daten müssen kontinuierlich sichergestellt werden. Daher sind regelmässige Tests, Backtesting und kontinuierliche Validierungen unerlässlich.
Um KI-Modelle nachhaltig und zuverlässig verwenden zu können, hebt die FINMA die Notwendigkeit der gründlichen Dokumentation der Daten hervor. Unter anderem müssen der Zweck der Anwendung, die Datenauswahl und -aufbereitung, die Modellauswahl sowie deren Limitierungen festgehalten werden.
Nicht nachvollziehbare KI-Modelle können erhebliche rechtliche und aufsichtsrechtliche Probleme nach sich ziehen. Die FINMA fordert daher verstärkte Massnahmen zur Verbesserung der Erklärbarkeit. Die Erklärbarkeit geht eng einher mit der Reproduzierbarkeit von KI-generierten Ergebnissen, was die Nachhaltigkeit von KI-Systemen weiter verstärkt. Zudem sollten wesentliche KI-Systeme regelmässig von unabhängigen Fachleuten überprüft werden, um deren Zuverlässigkeit und Transparenz sicherzustellen.
Die FINMA bleibt ihrem technologieneutralen Ansatz treu, verschärft jedoch die Erwartungen an Unternehmen, die KI einsetzen.
Wir empfehlen allen Finanzdienstleistern, ihre Governance- und Risikomanagement-Prozesse umgehend daraufhin zu überprüfen, ob sie den neuen Anforderungen entsprechen. Besonders wichtig sind dabei eine präzise Dokumentation, die Nachvollziehbarkeit von KI-gestützten Entscheidungen sowie die Sicherstellung der Datenqualität und die Dokumentation der verwendeten Daten und Vorgänge. Wer hier proaktiv handelt, minimiert regulatorische Risiken und stärkt zugleich das Vertrauen von Kunden und Aufsichtsbehörden.
Quellen