Was SR 11-7 verlangte und SR 26-2 als Nachfolger

Das Supervisory Guidance zu Model Risk Management der Federal Reserve (SR 11-7), herausgegeben 2011, hat den grundlegenden Rahmen für das Modellrisikomanagement in US-Finanzinstituten etabliert. Trotz seines Alters blieb SR 11-7 lange der dominierende Referenzstandard für Modell-Governance weltweit, bis er am 17. April 2026 durch SR 26-2 abgelöst wurde. SR 11-7 definiert ein Modell als eine quantitative Methode, System oder Ansatz, der statistische, wirtschaftliche, finanzielle oder mathematische Theorien anwendet, um Eingabedaten in quantitative Schätzungen zu verarbeiten. Moderne ML-Systeme fallen klar in diese Definition.

Die Erklärungslücke

SR 11-7 verlangt, dass Modelle konzeptionell solide sind, dass ihre Logik artikuliert, verstanden und auf Angemessenheit bewertet werden kann. Traditionelle statistische Modelle erfüllen diese Anforderung: die Beziehung zwischen Inputs und Outputs kann mathematisch ausgedrückt werden. Deep Learning-Modelle und komplexe Ensemble-Methoden erfüllen diese Anforderung auf die gleiche Weise nicht. Ihre internen Repräsentationen sind nicht menschlich interpretierbar.

Konzeptionelle Solididitäts-Bewertung für diese Modelle erfordert andere Techniken: Feature-Importance-Analyse, partielle Abhängigkeitsplots, SHAP-Werte und adversarielle Tests, keine davon bietet das gleiche Maß an Sicherheit wie das direkte Lesen der Modelllogik.

Verteilungsdrift

Traditionelle Modell-Validierung testet Modellleistung an einem Hold-out-Sample aus derselben Verteilung wie die Trainingsdaten. Für ML-Modelle in dynamischen Umgebungen ist diese Annahme häufig falsch. Datendrift und Konzeptdrift können ML-Modellleistung schnell und ohne offensichtliche Warnsignale degradieren. Modellrisikomanagement für ML erfordert aktive Überwachung auf Verteilungsdrift, nicht nur periodische Leistungsüberprüfung.

Die EU AI Act-Ausrichtung

Für Finanzdienstleistungsunternehmen, die sowohl SR 11-7 als auch dem EU AI Act unterliegen, gibt es eine erhebliche strukturelle Ausrichtung. Die Anforderungen des EU AI Acts für Hochrisiko-KI, Risikomanagementsystem, Daten-Governance, technische Dokumentation, menschliche Aufsicht, entsprechen direkt den Modellrisikomanagement-Komponenten von SR 11-7. Unternehmen können EU AI Act-Compliance auf diesem Fundament aufbauen, anstatt sie als parallele Verpflichtung zu behandeln.