Algorithmenbasierte Entscheidungen

Kann künstliche Intelligenz in der Bankenwelt Entscheidungen treffen?


Algorithmenbasierte Entscheidungen: Kann künstliche Intelligenz in der Bankenwelt Entscheidungen treffen? Kolumne

Die Bedeutung von künstlicher Intelligenz wird in der Finanzbranche immer größer – von automatisierten Kreditentscheidungen bis hin zu Sanktionslistenprüfungen werden immer mehr Chancen für Finanzinstitute gesehen. Manuelle Entscheidungs- und Bearbeitungszeiträume können verkürzt werden, wovon das Kundenerlebnis profitieren soll. Vielseitige Möglichkeiten zur Unternehmensinternen Kostenersparnis machen den Einsatz von künstlicher Intelligenz attraktiv.

Wie so oft, ergeben sich jedoch nicht nur Chancen, sondern auch Risiken durch den Einsatz von künstlicher Intelligenz. Die Daten, die verarbeitet werden, müssen gesteuert und kontrolliert werden. Es muss sichergestellt sein, dass "die Maschine das richtige lernt" und die entsprechenden Entscheidungen trifft. 

Aktuell gibt es von der Regulierung noch keine anzuwendenden Mindestanforderungen zu diesem Thema. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat im Sommer 2021 allgemeine Prinzipien für den Einsatz von Algorithmen innerhalb von Entscheidungsprozessen  veröffentlicht. Diese stellen vorläufige Überlegungen und eine Orientierungshilfe dar. Die Prinzipien umfassen den Einsatz von Algorithmen in entscheidungsvorbereitenden Prozessen wie zum Beispiel der Quantifizierung und Bewertung von Risiken.

Technologieneutralität muss gewährleistet sein

Grundsätzlich gelten bei algorithmenbasierten Entscheidungen analog zu menschlichen Entscheidungen dieselben "Spielregeln" der Aufsicht. Der komplette Entscheidungsprozess muss umfassend risikoorientiert und anlassbezogen betrachtet werden. Ebenso darf keine Unterscheidung zwischen einer algorithmenbasierten Entscheidung (sprich von der Maschine) und einem Menschen vorgenommen werden. Die Technologieneutralität muss gewährleistet sein. Besondere Vorsicht ist bei potenzierten Entscheidungen zu walten, wenn die Maschine mit algorithmenbasierten Entscheidungen weiterverarbeitet und sich so Verzerrungen der Entscheidungen einschleichen können. Die menschliche Entscheidung darf nicht übergangen werden, da grundsätzlich immer Mensch vor Maschine gilt. 

Damit künstliche Intelligenz überhaupt Entscheidungen in einem Institut treffen darf, sollte das Institut unter anderem folgende Aufgaben erfüllen: 

  • Zustimmung der Geschäftsleitung: Die Geschäftsleitung muss dem Einsatz von algorithmenbasierten Entscheidungsprozessen zustimmen. Die Akzeptanz des Managements lässt sich in der Praxis mit einem Beschluss der Geschäftsleitung dokumentieren. Es muss sichergestellt sein, dass das Management sich mit dem Thema auseinandergesetzt hat und weiterhin die Verantwortung trägt. 
  • Ergänzung der IT-Strategie: Der Einsatz von (für das Institut) neuen Technologien ist in der IT-Strategie aufzunehmen. Es empfiehlt sich ebenso einen Anpassungsprozess gem. AT 8 der MaRisk zu durchlaufen. 
  • Verstärkte interne Kontrollstrukturen: Das Auslagerungs- und Risikomanagement ist ebenfalls betroffen und sollte verstärkte Kontrollstrukturen implementieren. Hierzu zählen neben den geltenden Maßnahmen (beispielsweise: diverse Kontrollen, Exit-Planungen und Notfallmaßnahmen) auch konkrete Verantwortungen und Berichtspflichten.  
  • Ergänzung des Risikoinventars: Durch die maschinelle Entscheidung entsteht ein neues IT-Risiko welches vermutlich vorab noch nicht berücksichtigt wurde. Das Risiko der künstlichen Intelligenz im Unternehmen ist im Risikoinventar zu ergänzen und zu bewerten. 
  • Methodenvalidierung und Methodenüberprüfung: Um systematische Verzerrungen (Bias) zu vermeiden, ist während der Entwicklungsphase bereits eine Methodenvalidierung durchzuführen. Während der operativen Umsetzung gilt es regelmäßig und anlassbezogen den Einsatz zu überprüfen. Ein sehr kurzfristiger Überprüfungszeitraum erscheint hier sinnvoll.

Beim Umgang mit Daten – insbesondere bei externer Verwendung – ist eine Datenstrategie festzulegen. Die Datenschutzbestimmungen sind initial sowie laufend zu bewerten. Auch Offenlegungspflichten gegenüber negativ Betroffenen sind zu evaluieren. 

Algorithmusbasierte Entscheidung muss nachvollziehbar und reproduzierbar sein

Die Ergebnisse der algorithmusbasierten Entscheidung müssen – analog zu der menschlichen Entscheidung – intern sowie extern für sachverständige Dritte nachvollziehbar sein und reproduziert werden können. Um diese Transparenz zu schaffen sind alle vorgängigen Entscheidungen des Instituts – von der Modellauswahl bis zur Validierung – zu dokumentieren. Neben der Modelleignung und Überprüfbarkeit, ist sowohl das Training und das Lernen des Modells als auch die anschließende Validierung zu dokumentieren. Die Validierung kann durch unabhängige (menschliche) Experteneinschätzungen erfolgen. Vor dem tatsächlichem Go-live ist eine umfassende Testphase zur Kontrolle und Qualitätssicherung durchzuführen. 

Nach dem Go-live sind die algorithmusbasierten Entscheidungen ständig zu kontrollieren. Dies kann durch institutsinterne Feedbackloops und Anpassungsregelungen festgelegt werden. Intern ist festzulegen, wie sehr der Mensch in die Ergebnisse eingebunden ist. Möglich ist ein Vier-Augen-Prinzip in dem der Mensch und die Maschine eingebunden sind. Das muss allerdings nicht heißen, dass jede Entscheidung der Maschine von dem Menschen überprüft werden muss, da sonst der Nutzen vermutlich nicht überwiegt. Hier sind insbesondere Schwellenwerte und Besonderheiten zu überprüfen und nicht jede einzelne Entscheidung. Auch das "Futter" (Inputfaktoren) die die künstliche Intelligenz erhalten hat muss regelmäßig überprüft werden, da diese gelernten Inputfaktoren das Ergebnis verfälschen können. 

Bei besonders kritischen Prozessen scheint es sinnvoll, dass maschinell getroffene Entscheidungen innerhalb eines gewissen Zeitraums vom Menschen noch zu verändern sind. "Stopping-Rules" sind systemseitig zu integrieren, sodass anschließend eine Ad-hoc-Validierung erfolgen kann. Zusätzlich zu den "Stopping-Rules" sind Notfallmaßnahmen zu definieren, die zu tragen kommen, wenn die algorithmusbasierten Entscheidungen längerfristig ausfallen. 

Fazit: Geht nicht, gibt's nicht! 

Der Einsatz von algorithmusbasierten Entscheidungen ist in einer entsprechenden Systemumgebung sinnvoll. Hier ist vor allem der aktuelle Stand der Systeme im Institut zu beachten. Bringt es einen Mehrwert, alte oder sogar veraltete Systeme mit KI zu ergänzen? Diese Frage muss jedes Institut für sich beantworten. Zusätzlich muss der entsprechende Anwendungsfall zum Einsatz der Technologie vorhanden sein, bevor man es trainiert und ausbaut. Insofern die Systemumgebung einem angestrebten Technologieeinsatz entspricht müssen die im vorgängigen Text beschriebenen Rahmenbedingungen mit Blick auf die Regularien und Sicherungsmaßnahmen erfüllt werden. Die Verantwortung der Entscheidung obliegt immer dem Menschen/der Geschäftsleitung. Es ist zu lernen mit der neuen Verantwortung umzugehen und diese entsprechen zu steuern. 
Künstliche Intelligenz kann in der Bankenwelt Entscheidungen treffen, jedoch nur mit den entsprechenden Sicherungsmaßnahmen. 

Der Artikel basiert auf dem veröffentlichten Prinzipienpapier "Big Data und künstliche Intelligenz: Prinzipien für den Einsatz von Algorithmen in Entscheidungsprozessen"

Download

 

Autorin: 

Theresa Maria Deutsche
ist in dem Bereich Aufsichtsrecht in einem Leasinginstitut in Deutschland tätig. Ihre Themenschwerpunkte umfassen aktuell Regulatorik, Auslagerungsmanagement, Compliance & Geldwäsche. Sie hat International Business mit dem Schwerpunkt auf International Finance studiert. 

[ Bildquelle Titelbild: Adobe Stock.com / peshkova ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.