So. Okt 13th, 2024

Für Banken und Fintechs stellt es eine ständige Herausforderung dar, die Vielzahl neuer und geänderter Vorschriften und Requirements zu überblicken und fristgerecht umzusetzen. Ein aktuelles Beispiel ist der Digital Operational Resilience Act (DORA) der EU mit hohen Anforderungen an die Cybersicherheit und die operationelle Resilienz von Finanzinstituten.

Compliance-Groups verbringen viel Zeit mit dem Durchforsten von Texten, ähnlich einem Lesezirkel. Doch anstelle von literarischen Meisterwerken geht es um komplexe Gesetzestexte, regulatorische Vorgaben und Requirements. Besonders anspruchsvoll sind dabei das Verstehen der Anforderungen und der Abgleich neuer Vorschriften mit dem bestehenden internen Regelwerk.

Viele regulatorische Vorgaben, beispielsweise MaRisk, beinhalten nicht nur Vorgaben zu einem Themengebiet. Von 304 Anforderungen auf 50 Seiten des DORA sind 195 related für Cybersicherheit und Resilienz. Auf den 126 Seiten der Mindestanforderungen an das Risikomanagement (MaRisk) betreffen von ca. 450 Punkten insgesamt nur 100 die Cyber- und Informationssicherheit. Dennoch muss alles gelesen werden.

Aufgabe der Compliance-Groups ist, die neuen Vorgaben zu verstehen, einzuordnen und deren Auswirkungen auf das interne Regelwerk und den Geschäftsbetrieb darzustellen. Handlungsbedarfe müssen identifiziert, kommuniziert und adressiert werden. Die IT-Abteilung einer Financial institution muss möglicherweise ihre Sicherheitsstandards, -prozesse und -tools anpassen, um neue Vorgaben zu erfüllen. Dies bedeutet, dass Compliance-Experten nicht nur die neuen Regeln, sondern auch deren Auswirkungen in der operationalen Umsetzung in der IT-Abteilung verstehen müssen. Hier kommt es auf Präzision und Element-Genauigkeit an, denn jeder Fehler kann zu unnötigen Kosten oder Risiken führen.

Das erfordert nicht nur gründliche Analysen, sondern auch ein tiefgreifendes Verständnis des in der Vorschrift behandelten Themas und der Auswirkungen auf die Organisation – und das oftmals nicht nur für ein Land, sondern worldwide. Typische Großbanken agieren von Südamerika bis Singapur, und in jeder Area gibt es eigene gesetzliche und aufsichtsrechtliche Vorschriften, die zu beachten sind.

Die manuelle „Hole-Analyse“ ist extrem zeitaufwendig

Ein entscheidender Teil der Compliance-Arbeit ist der Soll-Ist-Abgleich, die sogenannte „Hole-Analyse“. Bisher wird diese üblicherweise auf Foundation von Excel-Sheets manuell durch interne Mitarbeiter oder externe Berater erstellt. Für einen Gesetzestext wie DORA kann der Abgleich intestine und gerne 20 Personentage in Anspruch nehmen. Hier geht es darum, die relevanten Anforderungen zu identifizieren, den derzeitigen Umsetzungsstand der Vorschrift festzustellen und die konkreten Auswirkungen auf das interne Regelwerk und interne Prozesse mit der bestehenden Governance abzugleichen und zu bewerten.

DORA beinhaltet unter anderem neue Anforderungen an die Kontrolle von Drittdienstleistern, die in den allermeisten bestehenden internen Regelwerken noch nicht berücksichtigt und damit auch noch nicht im Unternehmen umgesetzt sind. Die „Hole-Analyse“ liefert dem Administration Transparenz über den tatsächlichen Erfüllungsgrad von regulatorischen Anforderungen. Der konkrete Handlungsbedarf zur Anpassung des internen Regelwerks, der Betriebsabläufe und -prozesse, um den externen Anforderungen gerecht zu werden, wird greifbar.

Beim Abgleich der externen Vorgabe mit dem internen Regelwerk ist der Mehrwert durch den Einsatz von KI am größten. Der Einsatz generativer Künstlicher Intelligenz (englisch: GenAI) unterstützt die Compliance-Arbeit, indem sie schnell und präzise relevante Informationen aus großen Textmengen extrahiert, interpretiert und zuordnet. Dadurch können Compliance-Groups schneller reagieren und notwendige Maßnahmen priorisieren. An die Stelle der bisher notwendigen tagelangen Dokumentrecherche durch einen Experten tritt die automatisierte Analyse und Formulierung von Handlungsvorschlägen durch die KI.

So kann ein Regelwerk mit 250 einzelnen Anforderungen auf 75 Seiten, für dessen manuelle Analyse High-Experten mehrere Tage benötigen, von einer KI in wenigen Minuten bearbeitet werden – bezogen auf das reine „Mapping“ der Informationen. Diese Zeitersparnis ermöglicht es den Experten, sich auf andere Aspekte der Compliance-Arbeit zu konzentrieren, wie die Interpretation und Bewertung der externen Anforderungen und die Beratung bei der Umsetzung geeigneter Maßnahmen zur Erfüllung der Anforderungen (Compliance).

Banken und Fintechs muss allerdings klar sein: Die gesamte Zeitersparnis ist eine Nettorechnung. Die GenAI-Ergebnisse müssen durch die Fachexperten auf Plausibilität und Korrektheit überprüft und gegebenenfalls angepasst werden. Diese unbedingt notwendige Tätigkeit reduziert den Nettoeffizienzgewinn. Durch die Nutzung von GenAI sind aber dennoch Effizienz-Steigerungen von bis zu 75% gegenüber einer vollständig manuellen Bearbeitung möglich. Mithilfe von GenAI kann die Aufgabe schneller und auf einem qualitativ gleichbleibenden Niveau erledigt werden. Erkenntnisse aus der Praxis zeigen, dass dies möglich ist.

Quelle: Sopra Steria

KI steigert die Effizienz von Compliance-Groups

GenAI kann jedoch nicht nur Textmengen durchforsten, sondern auch problemlos Analysen anderssprachiger Dokumente durchführen. Das ist besonders wertvoll für worldwide tätige Banken, die mit Vorschriften in verschiedenen Sprachen konfrontiert sind und eine zentrale Compliance-Funktion haben oder anstreben. Ein zentrales Staff in Deutschland könnte die Vorarbeit in Kind eines GenAI-basierten Abgleichs leisten. Die Validierung der Ergebnisse, die fachliche Feinarbeit, kann zentral oder durch Experten-Groups im Ausland erfolgen. Der Aufwand hierfür fällt dann deutlich geringer aus als heute, wo jede Area komplette Compliance-Organisationen vorhält.

GenAI kann auf diese Weise für viele regulierte Bereiche in unterschiedlichen Themengebieten eingesetzt werden. Beispiele hierfür sind MiCA (Markets in Crypto-Belongings) oder die Vorgaben zur Bekämpfung von Geldwäsche und zur Betrugsprävention.

Insgesamt zeigt sich, dass mithilfe von KI die Effizienz in der Compliance-Arbeit durch Entlastung der Experten gesteigert wird. Das führt insgesamt zu einer Verbesserung des Compliance-Standing. Diese Technologie ermöglicht es Banken und Fintechs, sich auf strategische Aufgaben zu konzentrieren, statt sich in endlosen Lesezirkeln zu verlieren. So bleibt mehr Zeit für das Wesentliche: Die Gewährleistung eines robusten und sicheren Geschäftsbetriebs im digitalen Zeitalter.

Der Erfolg von KI-Projekten hängt maßgeblich davon ab, wie intestine sie in die bestehende Organisation integriert sind. Die KI sollte als unterstützende Komponente in einem funktionierenden und reifen Prozess eingesetzt werden. Es reicht nicht aus, nur auf die Technik zu setzen. Eine klare Governance ist wichtig, um die Vorteile von KI vollständig zu nutzen und Risiken zu vermeiden.

––––––––––––––––––––

* Marco Filtzinger ist Lead Guide für Cyber- und Informationssicherheit bei Sopra Steria Subsequent, der Administration-Consulting-Einheit von Sopra Steria. Sopra Steria gehört zu den Premium-Partnern von Finanz-Szene. Mehr zu unserem Premium-Companion-Modell erfahren Sie hier. 

Von admin