Die Aufsichtsmitteilung im Überblick
Künstliche Intelligenz (KI) hält zweifelsfrei auch im Finanzsektor Einzug und schafft immense Potenziale, dennoch bleibt der hiesige rechtliche Rahmen bislang überraschend unklar. Derzeit existieren in der Schweiz noch keine spezifischen gesetzlichen Regelungen zum KI-Einsatz. In der Aufsichtsmitteilung 08/2024 vom vergangenen Dezember hat die FINMA entsprechende Anforderungen an Governance und Risikomanagement konkretisiert (zur FINMA-Aufsichtsmitteilung 08/2024). Sie erwartet von den Beaufsichtigten, dass sie sich aktiv mit den Auswirkungen der Nutzung von KI auf ihr Risikoprofil auseinandersetzen und die erforderlichen Anpassungen in ihren Governance-, Risikomanagement- und Kontrollsystemen einleiten.
Herausforderungen im KI-Risikomanagement: Von Modellfehlern bis zur Datenintegrität
Der Einsatz von KI birgt ein komplexes Geflecht von Gefährdungen. Neben operationellen Risiken wie Modellfehlern und IT-Schwachstellen stehen Unternehmen vor rechtlichen Herausforderungen und potenziellen Reputationsschäden. Besonders kritisch ist die wachsende Abhängigkeit von Drittanbietern, die das Risikomanagement vor neue Aufgaben stellt. Beaufsichtigte müssen sicherstellen, dass ihre Governance- und Risikomanagementsysteme den speziellen Anforderungen des KI-Einsatzes gerecht werden. Dies erfordert nicht nur technisches Know-how, sondern auch ein tiefgreifendes Verständnis für die weitreichenden Implikationen von KI auf alle Geschäftsbereiche.
So beobachtete die FINMA, dass sich die Beaufsichtigten in erster Linie auf Datenschutzrisiken fokussieren, während Modellrisiken (z.B. Fehleranfälligkeit) oft vernachlässigt werden. Ausserdem zeigen sich besonders bei dezentraler Entwicklung von KI-Technologien, über verschiedene Stellen oder Abteilungen innerhalb des Unternehmens hinweg, Schwierigkeiten, klare Verantwortlichkeiten und einheitliche Standards zu etablieren. Beaufsichtigte sollen daher ein zentrales Inventar ihrer KI-Anwendungen führen, Zuständigkeiten transparent definieren und spezifische Tests sowie Dokumentenstandards einführen. Bei extern bezogenen Lösungen ist es besonders wichtig, die Herkunft und Qualität der verwendeten Modelle und Daten zu prüfen.
Die Präzision und Zuverlässigkeit von KI-Anwendungen hängen massgeblich von der Qualität der zugrunde liegenden Daten ab. Fehlerhafte oder unvollständige Datensätze, insbesondere bei komplexen, unstrukturierten Daten wie Texten und Bildern, können die Genauigkeit der KI-Modelle erheblich beeinträchtigen und zu fehlerhaften Analysen bzw. unzutreffenden Ergebnissen führen. Die FINMA weist die Beaufsichtigten in diesem Kontext darauf hin, stringente Richtlinien zur Sicherstellung der Datenintegrität zu entwickeln und die Verfügbarkeit sowie den Zugang zu relevanten Daten entsprechend zu gewährleisten. Wie die FINMA betont, sind regelmässige Tests und eine kontinuierliche Überwachung unerlässlich, um die Funktionsfähigkeit und Stabilität der KI-Anwendungen zu sichern.
Zusätzlich stellt die mangelnde Erklärbarkeit der Entscheidungsprozesse beim Einsatz von KI eine Herausforderung dar. Die FINMA fordert von den Beaufsichtigten, sicherzustellen, dass die Entscheidungen ihrer KI-Anwendungen nachvollziehbar sind, insbesondere wenn diese gegenüber relevanten Stakeholdern wie Kunden, Aufsichtsbehörden oder anderen betroffenen Parteien begründet werden müssen. Zudem fehlt es in vielen Unternehmen an einer unabhängigen Prüfung des gesamten Entwicklungsprozesses von KI-Anwendungen. Eine solche Überprüfung ist für die frühzeitige Risikoerkennung und Qualitätssicherung in Bezug auf die Modelle entscheidend.
Ausblick und Weiterentwicklung der Anforderungen
Die FINMA wird ihre Anforderungen an das Risikomanagement im Zusammenhang mit KI kontinuierlich weiterentwickeln und dabei internationale Standards berücksichtigen. Finanzinstitute sind aufgefordert, ihre KI-Nutzung laufend zu überprüfen und anzupassen, um den sich wandelnden Anforderungen gerecht zu werden. Der verantwortungsvolle Einsatz von KI im Finanzmarkt erfordert eine gut strukturierte Governance, ein robustes Risikomanagement und konstante Überwachung, um die Chancen von KI sicher nutzen und potenzielle Risiken effektiv steuern zu können.