AI Governance für Banken mit klaren Prozessen für den KI-Einsatz

Viele Unternehmen setzen inzwischen KI-Systeme ein und entwickeln zunehmend neue Use Cases. Dadurch entsteht innerhalb von Organisationen schnell eine heterogene Landschaft aus unterschiedlichen KI-Anwendungen. Die eigentliche Herausforderung beginnt jedoch oft schon davor:

Wie lässt sich der Innovationsdrang in eine umsetzbare KI-Strategie überführen? Und wie wird aus dieser Strategie operative Realität, die in bestehende Prozesse integriert werden kann?

Dabei spielen nicht nur interne Anforderungen eine Rolle, sondern auch regulatorische Vorgaben. Regelwerke wie der EU AI Act oder DORA verlangen klare Verantwortlichkeiten, nachvollziehbare Entscheidungen und ein strukturiertes Risikomanagement für KI-Systeme. An dieser Stelle wird AI Governance entscheidend. Fehlen klare Prozesse und Verantwortlichkeiten, bleibt KI in vielen Unternehmen auf strategischer Ebene stehen. Use Cases werden zwar diskutiert, schaffen es jedoch entweder nicht in die Umsetzung oder erfüllen die notwendigen Compliance-Anforderungen nicht.

Die entscheidende Aufgabe besteht daher darin, AI Governance konkret in bestehende Organisations- und Prozessstrukturen zu integrieren. Genau diesen Schritt haben wir gemeinsam mit einem großen deutschen Finanzinstitut umgesetzt.

Die Ausgangssituation

KI strategisch gesetzt – operative Governance-Prozesse fehlten

Eine große deutsche Bank hatte KI bereits als strategische Priorität definiert und eine eigene Einheit aufgebaut. Offen blieb jedoch eine zentrale Frage:

Wie lassen sich diese Anforderungen in konkrete Abläufe übersetzen, die Fachbereiche tatsächlich nutzen können und die gleichzeitig regulatorischen Anforderungen standhalten?

Für das Management standen dabei vier Punkte im Mittelpunkt:

Nachvollziehbarkeit von Entscheidungen, insbesondere bei der Bewertung und Freigabe von KI-Use-Cases
Risikoklassifizierung von KI-Anwendungen, um Prüfungen und Kontrollen risikobasiert zu gestalten
Prozesse, die Innovation ermöglichen, ohne unnötige Hürden aufzubauen
Compliance-by-Design, sodass regulatorische Anforderungen automatisch Bestandteil der Prozesse werden

Analyse und Monitoring von KI-Systemen als Teil eines End-to-End AI Governance Prozesses von Antrag bis Stilllegung mit kontinuierlicher Kontrolle

Das Vorgehen

Risikobasierte Governance in bestehende Bankprozesse integriert

CGI analysierte zunächst die bestehenden Prozesse der Bank und identifizierte, an welchen Stellen KI zusätzliche Anforderungen erzeugt. Ziel war es, keine Parallelprozesse aufzubauen, sondern AI Governance möglichst nahtlos in die vorhandene Prozesslandschaft zu integrieren.

Dabei wurde eng mit allen relevanten Stakeholdern aus Fachbereichen, IT und Kontrollfunktionen zusammengearbeitet.

Das Projekt wurde von Dr. Armin Mokhtarian und Laurenz Hohendorff umgesetzt, die Unternehmen bei der Operationalisierung von AI Governance und der Integration regulatorischer Anforderungen in bestehende Organisations- und Prozessstrukturen unterstützen.

Wesentliche Bausteine

Risikoklassifizierung für KI-Systeme: Ein Klassifizierungsmodell legt fest, wie intensiv Prüfungen, Tests und Freigaben je nach Risikoprofil erfolgen müssen.
Standardisierte Templates und Bewertungslogiken: KI-Use-Cases können strukturiert beschrieben werden, während Kontrollfunktionen eine konsistente Grundlage für ihre Bewertung erhalten.
Erweiterte Testverfahren: Neben der funktionalen Prüfung werden auch KI-spezifische Aspekte wie Bias, Fairness und Modellverhalten berücksichtigt.
Kontinuierliche Kontrollen im Betrieb: Monitoring- und Review-Prozesse stellen sicher, dass Modelle und Datenverhalten auch nach dem Go-live überwacht werden.
Vertoolung der Prozesse: Neue Workflows bilden die Grundlage für eine effiziente Prozesssteuerung und ermöglichen perspektivisch weitere Automatisierungen und Vereinfachungen.
Integration von Standards wie ISO 42001: Der Governance-Ansatz wurde zusätzlich an internationalen Standards für AI Management Systeme ausgerichtet.

Über regulatorische Mindestanforderungen hinaus

Der Ansatz ging bewusst über reine Compliance-Anforderungen hinaus. Neben regulatorischen Vorgaben wurden auch Standards wie ISO 42001 berücksichtigt. Der Standard schafft einen strukturierten Rahmen für das Management von KI-Systemen und unterstützt Unternehmen dabei, Governance, Risikomanagement und kontinuierliche Kontrolle von KI-Anwendungen systematisch zu etablieren.

Damit wird nicht nur regulatorische Konformität erreicht, sondern auch eine skalierbare und langfristig tragfähige Governance-Struktur geschaffen.

Die Ergebnisse

Klarer KI-Prozess von Antrag bis Stilllegung

Die Bank verfügt heute über einen End-to-End-Prozess für Antrag, Einführung, Betrieb und Außerbetriebnahme von KI-Systemen.

Die verantwortlichen Personen wissen nun:

wie ein KI-Use-Case beantragt wird

welche Prüfungen erforderlich sind

welche Instanzen eingebunden werden müssen

Durch die neuen Prozesse sind Prüftiefe und Eskalationswege klar definiert. Wiederkehrende Kontrollen stellen sicher, dass Compliance auch langfristig gewährleistet bleibt.

Damit wird AI Governance von einem strategischen Konzept zu einem praktischen Vorgehen, das Innovation ermöglicht und gleichzeitig regulatorischen Anforderungen gerecht wird.