„KI-Readiness“ für Finanzdienstleister: Betrachtung der Perspektive Strategie & Governance?

Im ersten Artikel zum Thema „KI-Readiness“ wurden relevante Perspektiven betrachtet, die aus Sicht von Banken wesentliche Rahmenbedingungen für eine KI-Implementierung darstellen:„KI-Readiness“ für Finanzdienstleister?

In diesem Artikel fokussieren wir uns zunächst auf die Perspektive „Strategie & Governance“. Welche Ergebnistypen stehen in dieser Perspektive zur Erlangung der KI-Readiness für Banken im Fokus?

Welche Ergebnistypen stehen bei der Perspektive „Strategie & Governance“ zur Erlangung der KI-Readiness für Banken im Fokus?

Im Bereich Strategie und Governance geht es zentral um die Entwicklung einer bankweiten KI-Strategie und die operative Verankerung dieser Strategie durch priorisierte Use Cases (z. B. Betrug, Kredit, Compliance, Kundenservice). Als Basis einer erfolgreichen Implementierung sind eine klar definierte Zielbildarchitektur, die Etablierung einer robusten KI-Governance sowie die Implementierung eines IT-Risiko-Frameworks erforderlich. Diese Bausteine stellen sicher, dass Daten als wertvolle Ressource verantwortungsvoll genutzt werden und das Unternehmen handlungsfähig bleibt.

Kurz zusammengefasst: Die drei Fokus‑Themen sind:

1. eine umsetzbare KI‑Strategie mit Priorisierung von Use‑Cases,
2. ein Governance‑Rahmen zur Steuerung des KI‑Lebenszyklus und
3. ein integriertes Risiko‑Framework für IT/IKT‑Risiken

Im Folgenden werden die Anforderungen und die damit verbundenen Ergebnisse konkretisiert.

1. Bankweite KI‑Strategie mit Prior‑Use‑Cases und Zielbild‑Architektur

Um eine erfolgreiche und nachhaltige Implementierung von Künstlicher Intelligenz in einem Unternehmen zu gewährleisten, bedarf es eines ganzheitlichen Ansatzes, der verschiedene strategische und operative Ebenen verzahnt. Den Ausgangspunkt bildet dabei die Erstellung eines KI-Strategiepapiers zur operativen Verankerung, welches nicht nur eine klare Vision und ein Zielbild definiert, sondern auch ethische Leitprinzipien und den geschäftlichen Nutzen festlegt. Hierbei werden konkrete Leistungskennzahlen wie Betrugsverlustquoten oder Durchlaufzeiten für die den Use Cases zugrundeliegenden Prozesse bestimmt, während die KI-Ziele eng mit der allgemeinen Geschäfts- und Digitalstrategie sowie regulatorischen Anforderungen wie dem EU AI Act oder MaRisk abgeglichen werden.

Ein wesentlicher praktischer Schritt ist die Definition eines priorisierten KI Use Case Katalogs mit Business Cases. Durch einen systematischen Priorisierungsprozess identifizieren Fachbereiche wie Kreditwesen, Compliance oder Kundenservice potenzielle Anwendungsfälle. Diese werden nach ihrem geschäftlichen Einfluss (Business Impact), ihrer technischen Machbarkeit sowie ihrem Risiko und der Zeit bis zur Wertschöpfung bewertet, um eine fundierte Auswahl zu treffen. Hierbei hat es sich auch als förderlich für die Akzeptanz der KI erwiesen, dass die Fachbereiche ihre Use Cases bis hin zu einem Proof of Concept eigenverantwortlich unter technischer Anleitung selbst entwickeln

Parallel dazu erfordert das technologische Fundament die Erstellung eines modularen Architektur-Zielbildes. Dieses Zielbild setzt auf einen „API-First“-Ansatz sowie standardisierte KI- und Datenplattformen, die durch robuste Sicherheits- und Kontrollschichten geschützt sind. In diesem Rahmen werden strategische „Build/Buy/Partner“-Entscheidungen getroffen und eine detaillierte KI-Roadmap etabliert, die Investitionspläne und zeitliche Releases strukturiert.

Die Basis für jede KI-Anwendung ist jedoch die Qualität der zugrunde liegenden Informationen, weshalb die Erstellung einer Datenstrategie unverzichtbar ist. Ein entsprechendes Dokument definiert das Zielbild für Data Lakes oder Warehouses, regelt Zugriffs- und Maskierungskonzepte und etabliert ein Framework für die Datenqualität. Durch die Festlegung eines zentralen Datenmodells und klarer Rollen, wie etwa Data Ownern, wird sichergestellt, dass die Daten verlässlich und regelkonform genutzt werden können.

Da Technologie allein keinen Wandel bewirkt, stehen der Changegedanke & Skillaufbau im Fokus der menschlichen Komponente. Durch den Aufbau interdisziplinärer Teams sowie gezielter Schulungsprogramme und Workshops für Mitarbeitende und Führungskräfte wird die notwendige KI-Kompetenz im Unternehmen verankert. Begleitende Maßnahmen wie Change-Kommunikation und die Präsentation von Best-Practice-Beispielen fördern die Akzeptanz und sichern die Fähigkeit, die digitale Transformation langfristig und erfolgreich voranzutreiben

2. Etablierung einer KI‑Governance

Für eine verantwortungsvolle und rechtssichere Nutzung von Künstlicher Intelligenz im Unternehmen ist ein strukturiertes Vorgehen unerlässlich. Das Fundament hierfür bildet das KI Governance Framework Dokument, welches ein umfassendes Modell – beispielsweise ein Drei-Säulen-Modell aus Strategie, Organisation und Lifecycle-Kontrollen – beschreibt und dieses nahtlos in bestehende Governance-Strukturen wie IT, Risiko und Compliance integriert. Dabei wird ein institutsweiter Rahmen geschaffen, der klare Verantwortlichkeiten für Rollen wie Board, CIO/CDO, KI-Owner sowie Experten für Modellrisiko und IT-Sicherheit definiert.

Ein wesentlicher prozessualer Baustein ist die Lifecycle-Steuerung. Sie legt verbindliche Vorgaben für den gesamten Weg einer KI-Anwendung fest – angefangen bei der ersten Idee über die Entwicklung, den Test und die Validierung bis hin zur offiziellen Freigabe, dem laufenden Betrieb, dem Monitoring und der letztlichen Stilllegung.

Parallel dazu sorgen spezifische Richtlinien & Prozesse für nötige Leitplanken. Diese umfassen Policies zu ethischer KI, Transparenz, dem Datenschutz sowie detaillierte Standards für die Modellentwicklung und den Einsatz von generativer KI oder Modellen von Drittanbietern. Damit diese Regeln auch eingehalten werden, greifen Kontroll- und Eskalationsmechanismen. Hierzu zählen regelmäßige Risiko-Reviews, unabhängige Kontrollen im Sinne der „3 Lines of Defense“ sowie eine klare RACI-Matrix, die genau festlegt, wer für Freigaben, Überwachungen oder die Abschaltung von Modellen zuständig ist. Unterstützt wird dies durch eine feste Gremienstruktur, wie etwa einen KI-Steuerkreis oder ein Data Governance Board, sowie einen standardisierten Review-Prozess für jeden KI-Use-Case.

Ein zentrales Augenmerk liegt zudem auf der regulatorischen Konformität. Hierbei werden komplexe Anforderungen aus dem EU AI Act, DORA sowie Vorgaben von Aufsichtsbehörden wie der BaFin oder FINMA direkt in die Unternehmensstrategie und die IT-Architektur eingebettet. Um den Erfolg und die Wirksamkeit dieser Maßnahmen beurteilen zu können, ist die Messbarkeit entscheidend. Durch die Festlegung von Kennzahlen, wie etwa der Anzahl validierter Modelle, auftretender Incidents oder Audit-Ergebnissen, lässt sich die Qualität der Governance objektiv steuern.

Abgerundet wird das Konzept durch den Bereich Schulung & Kultur. Durch gezielte Sensibilisierungsprogramme für das Management und die Fachbereiche sowie praktische Leitfäden wird ein tiefes Verständnis für KI-Risiken und ethische Anforderungen geschaffen. Ziel ist es, die KI-Governance fest im internen Kontrollsystem zu verankern, sodass KI-Modelle mit der gleichen Sorgfalt wie kritische Anwendungen geführt werden und alle Geschäftsbereiche aktiv dazu beitragen, ihre Systeme regelmäßig zu bewerten und zu inventarisieren.

3. Implementierung Risiko‑Framework für die IT (IKT‑/KI‑Risiken)

Um den Einsatz von Künstlicher Intelligenz sicher und regelkonform zu gestalten, ist eine nahtlose Einbindung in bestehende Strukturen erforderlich. Den strategischen Rahmen hierfür bildet ein KI ergänztes IT Risiko Framework. Dieses Dokument stellt sicher, dass KI-Risiken als integraler Bestandteil des IKT-Risikomanagements – etwa im Sinne von DORA oder BAIT – betrachtet und explizit als solche klassifiziert werden. Damit auch neuartige Bedrohungen erfasst werden, erfolgt eine Erweiterung der bestehenden Risiko Taxonomie. Hierbei werden spezifische KI-Gefahren wie Modellversagen, Bias, Prompt Injection, Halluzinationen oder Daten-Leakage systematisch in das bestehende Risikoverständnis aufgenommen.

Die operative Umsetzung beginnt bei jedem einzelnen Projekt mit einer verpflichtenden Risikoanalyse & Klassifizierung. Mithilfe von Standard-Templates werden KI-Anwendungsfälle nach ihrer Kritikalität und den Anforderungen des EU AI Acts eingestuft, wobei auch Aspekte wie Datenschutz, Informationssicherheit und Outsourcing-Risiken detailliert geprüft werden. Basierend auf dieser Analyse greift ein spezifischer Kontrollkatalog. Dieser definiert die notwendigen technischen und organisatorischen Maßnahmen, die von Zugriffsrechten und Logging über das Change-Management bis hin zur Sicherstellung der Modellrobustheit und Backup-Konzepten reichen.

Da moderne KI-Infrastrukturen oft von externen Partnern betrieben werden, spielt das Third Party Risk Management eine zentrale Rolle. Es legt spezifische Anforderungen für Cloud- und Modellanbieter fest, regelt Service-Level-Agreements (SLAs) sowie Auditrechte und definiert klare Exit-Strategien, um Konzentrationsrisiken zu vermeiden. Im laufenden Betrieb stellt ein Kontinuierliches Monitoring sicher, dass die Systeme stabil bleiben. Durch technische Mechanismen werden Phänomene wie Daten- oder Performance-Drift sowie Security-Events überwacht und in Dashboards sowie Incident-Reports dokumentiert. Ergänzend dazu dienen Notfallpläne und Fallback-Prozesse dazu, die Betriebsfähigkeit auch bei einem Ausfall kritischer KI-Dienste aufrechtzuerhalten.

Den regulatorischen Abschluss bildet das Mapping zu Regulatorik. Diese Übersicht stellt eine direkte Verbindung zwischen den implementierten KI-Kontrollen und den Anforderungen aus DORA, dem EU AI Act sowie MaRisk oder BAIT her, sodass die Konformität der Systeme jederzeit transparent nachgewiesen werden kann.

Wir können Ihnen helfen, die notwendigen Maßnahmen in Teilbereichen oder als Ganzes in Form einer Roadmap kundenindividuell auszuarbeiten.