KI-Governance in Finanzdienstleistungen: Die regulatorische Landschaft
KI in Kredit, Betrug, AML und Kapitalmarkt. SR 11-7 für ML, APRA CPG 234, PRA SS1/23 und wie Aufsichtsbehörden das Modellrisikomanagement auf KI ausweiten.
Key Takeaways
SR 11-7 und gleichwertige prudentielle Guidance gelten für KI/ML-Systeme durch Erweiterung — Finanzunternehmen müssen diese Rahmen für moderne ML-Merkmale anpassen.
Regulatoren verlangen, dass Modellvalidierungsteams ML-Kompetenz entwickeln: Interpretierbarkeits-Tooling, adversarielle Tests und Fairness-Analyse.
Kontinuierliche Überwachungsinfrastruktur ist für ML-Modelle erforderlich — periodische Überprüfung reicht nicht aus für den Verteilungsdrift.
Die EU AI Act-Anforderungen für Hochrisiko-KI sind mit dem SR 11-7-Framework weitgehend ausgerichtet — Compliance kann aufgebaut werden.
"Nur zu Informationszwecken. Dieser Artikel stellt keine rechtliche, regulatorische, finanzielle oder professionelle Beratung dar. Konsultieren Sie einen qualifizierten Spezialisten für spezifische Beratung."
Die doppelte regulatorische Landschaft
Finanzdienstleistungs-KI-Governance wird gleichzeitig durch allgemeine KI-Regulierung und durch prudentielle Regulatoren geprägt, die bestehende Modellrisiko-Frameworks auf KI ausweiten. Das Ergebnis ist eine dichtere Regulierung als die meisten Sektoren, aber auch vertrautere Regulierung: das konzeptuelle Gerüst existiert seit Jahren.
SR 11-7 und seine Grenzen für ML
Das Supervisory Guidance zu Model Risk Management der Federal Reserve (SR 11-7), 1011 herausgegeben, bleibt der dominierende Referenzstandard für das Modellrisikomanagement in US-Finanzinstituten. Trotz seines Alters bleiben seine Kernprinzipien — konzeptionelle Solidität, strenge Entwicklung, Validierung durch unabhängige Parteien — für KI-Modelle gültig.
Was SR 11-7 nicht antizipiert hat, ist wie schwierig diese Anforderungen werden, wenn sie auf Modelle angewendet werden, deren interne Logik nicht vollständig interpretierbar ist. Die Erklärungslücke bei tiefen Lernmodellen und komplexen Ensemble-Methoden ist real und erfordert neue Bewertungsansätze: Feature-Importance-Analyse, partielle Abhängigkeitsplots, SHAP-Werte und adversarielle Tests — keiner von denen bietet dasselbe Maß an Sicherheit wie das direkte Lesen der Modelllogik.
Verteilungsdrift und kontinuierliche Überwachung
ML-Modelle können schnell degradieren, wenn die statistischen Eigenschaften der Eingabedaten sich von den Trainingsdaten unterscheiden. Ein Kreditmodell, das auf Vorpandemie-Daten trainiert wurde, stieß während der COVID-19-Pandemie auf schweren Verteilungsdrift. Finanzunternehmen ohne aktive Überwachungsinfrastruktur erkannten diese Degradation nicht, bevor sie materielle Auswirkungen auf Kredit- und Rückstellungsentscheidungen hatte.
Die Governance-Anforderung ist klar: automatisierte Überwachungsinfrastruktur, die Input-Datenverteilungen gegen Trainings-Baselines verfolgt, Output-Verteilungen gegen erwartete Bereiche, Leistungsmetriken gegen definierte Schwellenwerte und Fairness-Metriken über relevante Untergruppen. Periodische manuelle Überprüfung ist kein Äquivalent.
EU AI Act-Ausrichtung für Finanzdienstleistungen
Für Finanzdienstleistungsunternehmen, die sowohl SR 11-7 als auch dem EU AI Act unterliegen, gibt es eine erhebliche strukturelle Ausrichtung. Die Anforderungen des EU AI Act für Hochrisiko-KI — Risikomanagementsystem, Daten-Governance, technische Dokumentation, menschliche Aufsicht, Genauigkeit und Robustheit — entsprechen direkt den Modellrisikomanagement-Komponenten von SR 11-7. Unternehmen mit ausgereiften Modellrisikomanagement-Funktionen können die EU AI Act-Compliance auf dieser Grundlage aufbauen, anstatt sie als parallele Verpflichtung zu behandeln.