von Marco Filtzinger*, 7. Oktober 2024
Für Banken und Fintechs stellt es eine ständige Herausforderung dar, die Vielzahl neuer und geänderter Vorschriften und Standards zu überblicken und fristgerecht umzusetzen. Ein aktuelles Beispiel ist der Digital Operational Resilience Act (DORA) der EU mit hohen Anforderungen an die Cybersicherheit und die operationelle Resilienz von Finanzinstituten.
Compliance-Teams verbringen viel Zeit mit dem Durchforsten von Texten, ähnlich einem Lesezirkel. Doch anstelle von literarischen Meisterwerken geht es um komplexe Gesetzestexte, regulatorische Vorgaben und Standards. Besonders anspruchsvoll sind dabei das Verstehen der Anforderungen und der Abgleich neuer Vorschriften mit dem bestehenden internen Regelwerk.
Viele regulatorische Vorgaben, beispielsweise MaRisk, beinhalten nicht nur Vorgaben zu einem Themengebiet. Von 304 Anforderungen auf 50 Seiten des DORA sind 195 relevant für Cybersicherheit und Resilienz. Auf den 126 Seiten der Mindestanforderungen an das Risikomanagement (MaRisk) betreffen von ca. 450 Punkten insgesamt nur 100 die Cyber- und Informationssicherheit. Dennoch muss alles gelesen werden.
Aufgabe der Compliance-Teams ist, die neuen Vorgaben zu verstehen, einzuordnen und deren Auswirkungen auf das interne Regelwerk und den Geschäftsbetrieb darzustellen. Handlungsbedarfe müssen identifiziert, kommuniziert und adressiert werden. Die IT-Abteilung einer Bank muss möglicherweise ihre Sicherheitsstandards, -prozesse und -tools anpassen, um neue Vorgaben zu erfüllen. Dies bedeutet, dass Compliance-Experten nicht nur die neuen Regeln, sondern auch deren Auswirkungen in der operationalen Umsetzung in der IT-Abteilung verstehen müssen. Hier kommt es auf Präzision und Detail-Genauigkeit an, denn jeder Fehler kann zu unnötigen Kosten oder Risiken führen.
Das erfordert nicht nur gründliche Analysen, sondern auch ein tiefgreifendes Verständnis des in der Vorschrift behandelten Themas und der Auswirkungen auf die Organisation – und das oftmals nicht nur für ein Land, sondern international. Typische Großbanken agieren von Südamerika bis Singapur, und in jeder Region gibt es eigene gesetzliche und aufsichtsrechtliche Vorschriften, die zu beachten sind.
Ein entscheidender Teil der Compliance-Arbeit ist der Soll-Ist-Abgleich, die sogenannte „Gap-Analyse“. Bisher wird diese üblicherweise auf Basis von Excel-Sheets manuell durch interne Mitarbeiter oder externe Berater erstellt. Für einen Gesetzestext wie DORA kann der Abgleich gut und gerne 20 Personentage in Anspruch nehmen. Hier geht es darum, die relevanten Anforderungen zu identifizieren, den derzeitigen Umsetzungsstand der Vorschrift festzustellen und die konkreten Auswirkungen auf das interne Regelwerk und interne Prozesse mit der bestehenden Governance abzugleichen und zu bewerten.
DORA beinhaltet unter anderem neue Anforderungen an die Kontrolle von Drittdienstleistern, die in den allermeisten bestehenden internen Regelwerken noch nicht berücksichtigt und damit auch noch nicht im Unternehmen umgesetzt sind. Die „Gap-Analyse“ liefert dem Management Transparenz über den tatsächlichen Erfüllungsgrad von regulatorischen Anforderungen. Der konkrete Handlungsbedarf zur Anpassung des internen Regelwerks, der Betriebsabläufe und -prozesse, um den externen Anforderungen gerecht zu werden, wird greifbar.
Beim Abgleich der externen Vorgabe mit dem internen Regelwerk ist der Mehrwert durch den Einsatz von KI am größten. Der Einsatz generativer Künstlicher Intelligenz (englisch: GenAI) unterstützt die Compliance-Arbeit, indem sie schnell und präzise relevante Informationen aus großen Textmengen extrahiert, interpretiert und zuordnet. Dadurch können Compliance-Teams schneller reagieren und notwendige Maßnahmen priorisieren. An die Stelle der bisher notwendigen tagelangen Dokumentrecherche durch einen Experten tritt die automatisierte Analyse und Formulierung von Handlungsvorschlägen durch die KI.
So kann ein Regelwerk mit 250 einzelnen Anforderungen auf 75 Seiten, für dessen manuelle Analyse Top-Experten mehrere Tage benötigen, von einer KI in wenigen Minuten bearbeitet werden – bezogen auf das reine „Mapping“ der Informationen. Diese Zeitersparnis ermöglicht es den Experten, sich auf andere Aspekte der Compliance-Arbeit zu konzentrieren, wie die Interpretation und Bewertung der externen Anforderungen und die Beratung bei der Umsetzung geeigneter Maßnahmen zur Erfüllung der Anforderungen (Compliance).
Banken und Fintechs muss allerdings klar sein: Die gesamte Zeitersparnis ist eine Nettorechnung. Die GenAI-Ergebnisse müssen durch die Fachexperten auf Plausibilität und Korrektheit überprüft und gegebenenfalls angepasst werden. Diese unbedingt notwendige Tätigkeit reduziert den Nettoeffizienzgewinn. Durch die Nutzung von GenAI sind aber dennoch Effizienz-Steigerungen von bis zu 75% gegenüber einer vollständig manuellen Bearbeitung möglich. Mithilfe von GenAI kann die Aufgabe schneller und auf einem qualitativ gleichbleibenden Niveau erledigt werden. Erkenntnisse aus der Praxis zeigen, dass dies möglich ist.
GenAI kann jedoch nicht nur Textmengen durchforsten, sondern auch problemlos Analysen anderssprachiger Dokumente durchführen. Das ist besonders wertvoll für international tätige Banken, die mit Vorschriften in verschiedenen Sprachen konfrontiert sind und eine zentrale Compliance-Funktion haben oder anstreben. Ein zentrales Team in Deutschland könnte die Vorarbeit in Form eines GenAI-basierten Abgleichs leisten. Die Validierung der Ergebnisse, die fachliche Feinarbeit, kann zentral oder durch Experten-Teams im Ausland erfolgen. Der Aufwand hierfür fällt dann deutlich geringer aus als heute, wo jede Region komplette Compliance-Organisationen vorhält.
GenAI kann auf diese Weise für viele regulierte Bereiche in unterschiedlichen Themengebieten eingesetzt werden. Beispiele hierfür sind MiCA (Markets in Crypto-Assets) oder die Vorgaben zur Bekämpfung von Geldwäsche und zur Betrugsprävention.
Insgesamt zeigt sich, dass mithilfe von KI die Effizienz in der Compliance-Arbeit durch Entlastung der Experten gesteigert wird. Das führt insgesamt zu einer Verbesserung des Compliance-Status. Diese Technologie ermöglicht es Banken und Fintechs, sich auf strategische Aufgaben zu konzentrieren, statt sich in endlosen Lesezirkeln zu verlieren. So bleibt mehr Zeit für das Wesentliche: Die Gewährleistung eines robusten und sicheren Geschäftsbetriebs im digitalen Zeitalter.
Der Erfolg von KI-Projekten hängt maßgeblich davon ab, wie gut sie in die bestehende Organisation integriert sind. Die KI sollte als unterstützende Komponente in einem funktionierenden und reifen Prozess eingesetzt werden. Es reicht nicht aus, nur auf die Technik zu setzen. Eine klare Governance ist wichtig, um die Vorteile von KI vollständig zu nutzen und Risiken zu vermeiden.
––––––––––––––––––––
* Marco Filtzinger ist Lead Consultant für Cyber- und Informationssicherheit bei Sopra Steria Next, der Management-Consulting-Einheit von Sopra Steria. Sopra Steria gehört zu den Premium-Partnern von Finanz-Szene. Mehr zu unserem Premium-Partner-Modell erfahren Sie hier.
Die Artikel von Finanz-Szene sind urheberrechtlich geschützt und nur für den jeweiligen Premium-Abonnenten persönlich bestimmt. Die Weitergabe – auch an Kollegen – ist nicht gestattet. Wie Sie Inhalte rechtssicher teilen können (z.B. via Pressespiegel), erfahren Sie hier.
Danke für Ihr Verständnis. Durch Ihr Abonnement sichern Sie ein Stück Journalismus!