Wie Chief Risk Officer (CROs) ihr Institut KI-fit machen

Am 13. März 2024 hat das Europäische Parlament den AI-Act beschlossen. Es soll den Einsatz Künstlicher Intelligenz (AI) regeln. Das bedeutet: bald treten neue Vorschriften für die Anwendung von KI in Europa in Kraft. Auch für die Finanzbranche. Je mehr KI genutzt wird, desto größer werden die damit einhergehenden spezifischen Risiken – ob durch Regelverstöße, Reputationsschäden oder operative Fehler. Welchen Weg sollten CROs also wählen, um KI trotz steigenden Risikodrucks optimal nutzbar zu machen?

von Matthias Peter und Dr. Arvind Sarin, KPMG

Bereits in der Vergangenheit war Künstliche Intelligenz für viele Unternehmen nicht mehr nur ein Experiment, sondern fand bereits konkrete Anwendung in verschiedenen Bereichen wie beispielsweise dem Assetmanagement. Besonders generative KI fordert eine Neubewertung von Anwendungsfällen. Und: viele Experimente, um ihr volles Potenzial zu erkennen und zu nutzen. Die meisten Institute haben generative KI bereits in ihre Prozesse integriert und weitere Schritte ihrer Reise vollzogen.

Angesichts des immensen Potenzials der Technologie ist Verzicht keine Option für Unternehmen, die konkurrenzfähig bleiben wollen.”

Der AI-Act der Europäischen Union formuliert Standards in Sachen Datenqualität, Dokumentation von Prozessen und verwendeter Technologie, Anwendungsfällen und Kontrolle durch Mitarbeiter. Kern des Regelwerks ist eine vierteilige Risikoklassifizierung für die Anwendungsbereiche von KI: risikoarm, begrenzt riskant, riskant und verboten.

Nach der Zustimmung durch den Ministerrat wird es voraussichtlich eine Übergangsfrist von 24 Monaten geben. Verbote greifen aber voraussichtlich bereits nach sechs, Anforderungen an General Purpose AI (GPAI) nach 12 Monaten.”

Von Vertrieb bis Fondsverwaltung

Einer der wichtigsten Anwendungsbereiche für KI ist und bleibt im Finanzsektor der Customer Channel. Zwar ist KI hier schon seit einigen Jahren im Einsatz, allerdings in erster Linie in Gestalt von Chatbots, also eines FAQs in Dialogform. Für Chatbots, die auf generativer KI basieren, muss im Gegensatz zum klassischen Ansatz kein festes Regelwerk implementiert werden. Der Algorithmus leitet aus der Frage und der zur Verfügung stehenden Information eine Antwort ab. Daher passen die Antworten besser zum einzelnen Kunden und auch für Spezialfälle, die nur schwer über feste Regeln abgedeckt werden können, wird eine individuelle Antwort generiert – ob auf Kreditanfragen, den Wunsch nach Anlageberatung oder in Sachen Bausparvertrag und Hypothekenzinsen.

Im Idealfall sind in dieser Korrespondenz alle vorliegenden Kundendaten und -profile sowie die bisherige Kommunikation mit dem Institut berücksichtigt, sodass ein individualisierter Dialog entsteht.”

Finanzinstitute dürfen darüber hinaus im Vertrieb auf einen Personalisierungsgrad jenseits von Segmentierung und Mikrosegmentierung hoffen: So kann KI zukünftig automatisiert individuelle Merkmale berücksichtigen und auf persönliche Bedürfnisse ihrer Zielgruppe eingehen. Generative KI wird etwa personalisierte Anschreiben verfassen, die nicht nur alle Daten berücksichtigen, sondern deren Tonalität an den jeweiligen Kunden angepasst ist. Im Marketing werden die neuen Instrumente den Kundenwert (Customer Lifetime Value) zielgruppenspezifisch, ja sogar individualisiert je Kunde bestimmen, während die Technologie in der Produktentwicklung hilft, Personas typischer Kundengruppen aufzubauen und zu befragen. Im Kundenservice verspricht generative KI eine vollständige Ende-zu-Ende-Automatisierung mit maßgeschneiderter Tonalität:

Intelligente Assistenzsysteme betreuen nicht nur den gesamten Prozess der Kreditvergabe oder Anlageberatung, sondern binden auch autonom Cross- und Upselling ein.”

Auch im Asset Management ist generative KI nicht nur angekommen, sondern vielmehr bereits zentraler Bestandteil der Portfolioverwaltung: Ein Fonds mit einem Investitionsuniversum von 4.000 Einzelaktien etwa enthält nicht selten ein Dutzend schriftliche Beurteilungen pro Papier und Analyseperiode. Large Language Models wie GPT4, Mistral und Gemma analysieren diese Schriftstücke einerseits auf empirische Daten, andererseits auf Sentiment und liefern dem Asset Manager innerhalb von Minuten die Essenz eines Konvoluts aus 60.000 Texten – hinsichtlich der relevanten Hard- und Soft Facts. Wie bei fast allen KI-gestützten Prozessen interpretiert am Ende der „Human in the Loop“ Auswahl und Empfehlung der KI. Und trifft final die Entscheidung. KI-gestützt verwaltete Fonds sind heute sehr lukrativ, Volumina im zweistelligen Milliardenbereich und überdurchschnittlich gute Performance geben dem Konzept recht, KI-Nutzung ist hier also bereits ein wichtiger Teil des Geschäftsmodells.

Autor: Dr. Arvind Sarin, KPMG

Dr. Arvind Sarin ist Head of Finance, Risk und Compliance Financial Services bei KPMG AG (Website) Wirtschaftsprüfungsgesellschaft. Er ist Experte für Risikomanagement und Treasury-Themen. Der studierte Diplom-Kaufmann (Betriebswirtschaftslehre), Diplom-Mathematiker (beides Universität Münster, 2008) und promovierte Dr. rer. pol Betriebswirtschaftslehre (Universität Münster, 2013) ist bereits seit mehr als 15 Jahren bei KPMG Deutschland im Bereich Financial Services tätig.

Je mehr KI, desto mehr Risiken

Bei der Empfehlung von Fonds und Wertpapieren mit Geschäftsabschluss trifft die KI für Verbraucher existenzielle Entscheidungen – und könnte somit künftig, als Hochrisikoanwendung bewertet werden. Im Gegensatz zu den Kategorien „Risikoarm“ und „Verboten“ verdienen die mittel- und hochriskanten Use Cases die größte Aufmerksamkeit des Risikomanagements. Hinsichtlich des Risikogehalts vergleichbar mit der vollautomatisierten Fondsverwaltung auf Basis von KI ist in der Praxis das Geschäftsmodell mancher Suchmaschinen oder Online-Plattformen: Hier konkurrieren zum Beispiel Reiseanbieter, Hotels und Fluggesellschaften um die Ergebnisse, die den Kunden bei Eingabe eines bestimmten Suchbegriffs angezeigt werden. In Echtzeit-Onlineauktionen überbieten sich die Konkurrenten um Centbeträge, um ihre Anzeigen in Suchmaschinen wie Google möglichst prominent zu platzieren. Das höchste Gebot erhält den Zuschlag – und akquiriert daher in der Regel die meisten Klicks und Geschäftsabschlüsse. Dieser Prozess wiederholt sich millionenfach pro Tag. Die richtigen Webalgorithmen und eine zuverlässige KI, die alle Prozesse koordiniert, sind hier kein optimierender Zusatzfaktor, sondern die Grundlage des Geschäftsmodells. KI ist hier also nicht als einfacher und alleinstehender Algorithmus zu betrachten, sondern in einem komplexen Zusammenspiel aus Algorithmen und Infrastruktur.

Betrachtet man die Tragweite der KI-Anwendungsfälle so ist leicht vorstellbar also, wie groß der Schaden sein könnte, wenn die Technologie hier versagte.”

Ein gutes Risikomanagement für die Verfahren ist also essentiell, aber worauf muss ein CRO achten?

Datenzentrierter Ansatz

Ein essenzieller Ansatzpunkt, der für alle Arten von KI gilt: KI ist immer nur so gut wie die verwendeten Daten. Grundvoraussetzung für ihren erfolgreichen Einsatz ist somit die Datenqualität. Ob es um Aktien, Hypotheken oder Kredite geht – die Daten müssen korrekt und so erschöpfend wie möglich sein. Dazu gehören neben allen Fakten zum Produkt auch Kundendaten und -historie: von persönlichen Daten über Kontobewegungen, Kredite, Aktien- und andere Geschäfte bis zur vollständigen Korrespondenz zwischen Kunde und Institut. Zusätzlich müssen die Banken die entsprechenden APIs (Application Programming Interfaces) installieren, die der KI Zugriff auf die relevanten Daten und Systeme ermöglichen. Zu guter Letzt sind es die Daten, die das KI-Verfahren prägen, unerwünschte Eigenschaften wie ein Bias sind mit Hilfe von Werkzeugen in den Daten sichtbar – hier muss das Risikomanagement unbedingt ansetzen, um das Risiko von Reputationsschäden und finanziellen Schäden zu begrenzen. Diesen Herausforderungen können Institute durch Implementierung des sogenannten datenzentrierten Ansatzes begegnen:

Die Methodik basiert auf dem systematischen Sammeln und Bereinigen von Daten, um eine qualitativ hochwertige Grundlage für die anschließende Analyse und Interpretation zu schaffen.”

Im ersten Schritt des Datenlebenszyklus werden Daten aus diversen Quellen präzise erfasst und bereinigt, anschließend werden Daten durch die Nutzung von statistischen Methoden und KI-Algorithmen analysiert, um sicherzustellen, dass sie relevant und verwertbar sind. Um die Langlebigkeit und Relevanz der Daten zu gewährleisten, implementieren die Häuser dann Prozesse zur kontinuierlichen Pflege und Aktualisierung der Datenbestände. Dies ist essenziell, da eine präzise Datenanalyse und Anwendung von KI nur mit sauberen und relevanten Daten möglich ist.

Autor Matthias Peter , KPMG

Matthias Peter berät Finanzinstitute im Themenfeld Risikomanagement und quantitative Analyse. Im Jahr 2005 hat er an der Technischen Universität Clausthal sein Studium zum Diplom-Wirtschaftsmathematiker abgeschlossen. Bei KPMG AG (Website) Wirtschaftsprüfungsgesellschaft ist er bereits seit mehr als 19 Jahren aktiv und leitet die internationale Arbeitsgruppe zum Thema Model Risk Management und ist Experte für quantitative Methoden, AI Governance und AI Risk in der Finanzbranche.

Die Nutzung fortschrittlicher KI ermöglicht es, Muster in Daten zu erkennen und trägt zur Verbesserung von Geschäftsprozessen und Entscheidungsfindungen bei. Die Nutzung von standardisierten Verfahren, die Einhaltung von IT-Sicherheits- und Datenschutzanforderungen, die Beachtung rechtlicher Vorschriften und die Anwendung bewährter Prozessmodelle ermöglichen es, qualitativ hochwertige und zuverlässige Lösungen zu liefern.

Zur Qualitätssicherung und Spezialisierung der Large Language Models (LLMs) können die IT-Abteilungen auf verschiedene derzeit in Entwicklung befindliche Tools und Trainingsmodelle zurückgreifen.

Grundsätzlich sollte dabei neben der automatisierten Modellevaluierung die “Human-in-the-Loop” Anforderung des AI Acts beachtet werden, indem Menschen in die Tests einbezogen werden.”

Dies kann auch über sogenanntes Crowd-Sourcing erfolgen, analog zum manuellen Markieren von Bildern für die Bilderkennung. Außerdem sollten nicht nur generische Tests verwendet werden, sondern herausfordernde und auf die Aufgabe bezogene Modell-spezifische Tests.

Die IT-Abteilungen in der Finanzindustrie halten nicht nur den Schlüssel zu vielen Lösungen in den Händen – sie können auch zum Ursprung neuer Risiken beim Einsatz von KI werden.”

Denn die Technologie erleichtert nicht nur Kundenberatern, Produktentwicklern und Anlageberatern ihre Arbeit, auch IT-Experten profitieren maßgeblich von der schönen neuen Welt der neuronalen Netzwerke. Generative KI kann beispielsweise natürliche Sprache in eine Programmiersprache übersetzen und damit den Zeitaufwand für die Quellcodeentwicklung signifikant reduzieren. Das KI-generierte Ergebnis muss der Entwickler nur noch einer Endkontrolle unterziehen. Fehlerhafte Technologie birgt hier in Kombination mit mangelhaften Kontrollen der Mitarbeiter hohes Schadenspotenzial. Entgegen der Annahme, dass KI Arbeitsplätze gefährdet, stehen der Branche daher in den kommenden Jahren zusätzliche Investitionen in die IT-Infrastruktur, das KI-Risikomanagement und das notwendige Fachpersonal zum angemessenen Betrieb der Use Cases bevor.

Regulatorik als Chance

Trotz einiger Neuentwicklungen und vielversprechender Modifikationen bestehender LLMs wird die Finanzbranche mindestens mittelfristig auf die Produkte der Big-Techs Microsoft, Meta und Google angewiesen bleiben.

Und hier leistet der AI-Act der EU für die Finanzwirtschaft willkommene Vorarbeit in Sachen Qualitätsstandards. Denn auch die US-Giganten könnten es sich nicht leisten, wenn ihre LLMs in Europa als den Anforderungen des AI Acts nicht angemessen eingestuft würden.”

Die Institute dürfen also davon ausgehen, dass die neue EU-Vorgabe ihnen nicht nur Pflichten bringt, sondern die Transparenz erhöht und im besten Fall die Technologie auch so zuverlässig werden lässt, dass sie eine faire Chance haben, dem Druck der Regulatorik standzuhalten.

Das Wichtigste für die CROs: Sie sollten Risikomanagement nicht entlang der Technologie betreiben – sondern nach Anwendungsbereichen strukturieren. Denn die Use Cases sind nicht nur die für die Regulatorik relevanten Kategorien, sondern prägen ganz entscheidend das KI-Risiko für das Unternehmen. Darüber hinaus ist eine Unternehmenskultur zeitgemäß, in der Vorgaben als Chance, nicht als lästige Pflicht betrachtet werden. Als motivierender „Leitindex“ kann hier zum Beispiel die Tatsache dienen, dass die jüngst beschlossenen Qualitätsstandards der EU die Einhaltung dieser auch seitens der Technologieanbieter garantieren werden.

Darüber hinaus gilt die alte Weisheit: Wer der Regulatorik hinterherläuft und Reverse Engineering betreibt, wird Probleme bekommen, wer ihr vorauseilt, Wettbewerbsvorteile haben.”

Um die neue Technologie sicher, effektiv und gewinnbringend im Unternehmen zu verankern, gilt es, schon heute Expertenteams zusammenzustellen, Trainings- und Vorkehrungsmaßnahmen zu treffen und Schulungen vorzubereiten. Damit mittelfristig jeder einzelne Mitarbeiter für den Umgang mit KI ausgebildet ist. Nur so lässt sich ihr Potential voll ausschöpfen. Matthias Peter und Dr. Arvind Sarin, KPMG

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/209925