Die doppelte regulatorische Landschaft

Finanzdienstleistungs-KI-Governance wird gleichzeitig durch allgemeine KI-Regulierung und durch prudentielle Regulatoren geprägt, die bestehende Modellrisiko-Frameworks auf KI ausweiten. Das Ergebnis ist eine dichtere Regulierung als die meisten Sektoren, aber auch vertrautere Regulierung: das konzeptuelle Gerüst existiert seit Jahren.

SR 11-7 und seine Grenzen für ML

Das Supervisory Guidance zu Model Risk Management der Federal Reserve (SR 11-7), 1011 herausgegeben, bleibt der dominierende Referenzstandard für das Modellrisikomanagement in US-Finanzinstituten. Trotz seines Alters bleiben seine Kernprinzipien, konzeptionelle Solidität, strenge Entwicklung, Validierung durch unabhängige Parteien, für KI-Modelle gültig.

Was SR 11-7 nicht antizipiert hat, ist wie schwierig diese Anforderungen werden, wenn sie auf Modelle angewendet werden, deren interne Logik nicht vollständig interpretierbar ist. Die Erklärungslücke bei tiefen Lernmodellen und komplexen Ensemble-Methoden ist real und erfordert neue Bewertungsansätze: Feature-Importance-Analyse, partielle Abhängigkeitsplots, SHAP-Werte und adversarielle Tests, keiner von denen bietet dasselbe Maß an Sicherheit wie das direkte Lesen der Modelllogik.

Verteilungsdrift und kontinuierliche Überwachung

ML-Modelle können schnell degradieren, wenn die statistischen Eigenschaften der Eingabedaten sich von den Trainingsdaten unterscheiden. Ein Kreditmodell, das auf Vorpandemie-Daten trainiert wurde, stieß während der COVID-19-Pandemie auf schweren Verteilungsdrift. Finanzunternehmen ohne aktive Überwachungsinfrastruktur erkannten diese Degradation nicht, bevor sie materielle Auswirkungen auf Kredit- und Rückstellungsentscheidungen hatte.

Die Governance-Anforderung ist klar: automatisierte Überwachungsinfrastruktur, die Input-Datenverteilungen gegen Trainings-Baselines verfolgt, Output-Verteilungen gegen erwartete Bereiche, Leistungsmetriken gegen definierte Schwellenwerte und Fairness-Metriken über relevante Untergruppen. Periodische manuelle Überprüfung ist kein Äquivalent.

EU AI Act-Ausrichtung für Finanzdienstleistungen

Für Finanzdienstleistungsunternehmen, die sowohl SR 11-7 als auch dem EU AI Act unterliegen, gibt es eine erhebliche strukturelle Ausrichtung. Die Anforderungen des EU AI Act für Hochrisiko-KI, Risikomanagementsystem, Daten-Governance, technische Dokumentation, menschliche Aufsicht, Genauigkeit und Robustheit, entsprechen direkt den Modellrisikomanagement-Komponenten von SR 11-7. Unternehmen mit ausgereiften Modellrisikomanagement-Funktionen können die EU AI Act-Compliance auf dieser Grundlage aufbauen, anstatt sie als parallele Verpflichtung zu behandeln.