Antwort

Modell-Risiko-Management für KI in Banken

Modell-Risiko-Management ist seit Jahrzehnten Standard im Banking, aber die meisten Modell-Risiko-Rahmen wurden für klassische statistische Modelle gebaut. KI-Modelle, vor allem Foundation-Models und Sprach-Systeme, brechen mehrere Grundannahmen dieser Rahmen. Wer 2026 KI in einer Bank produktiv hat, muss SR 11-7-Praxis, EBA-Leitlinien und MaRisk-Anforderungen für ein Modell-Profil neu kalibrieren, das laufend driftet und nicht vollständig erklärbar ist.

Geltende Rahmen

SR 11-7 der Federal Reserve ist faktischer globaler Standard für Modell-Risiko. EBA-Leitlinien zu Kreditrisiko-Modellen (EBA/GL/2022/15) und EZB-Leitfaden zu internen Modellen (TRIM) sind die EU-Pendants. In Deutschland MaRisk AT 4.3.4 und BAIT. Alle drei verlangen unabhängige Validierung, dokumentierte Annahmen, laufende Überwachung.

Modell-Inventar

Erste Pflicht. Jedes KI-Modell muss im Modell-Inventar geführt werden, mit Eigentümer, Zweck, Trainings-Datenbasis, Versions-Historie. Bei Foundation-Model-basierten Lösungen sind Adapter, Prompts und nachgelagerte Klassifikatoren als eigenständige Modelle zu listen.

Validierung

Unabhängige Validierung vor Produktion und periodisch. Validierung deckt Daten-Qualität, Annahmen, Performance auf Out-of-Sample-Daten, Stabilität, Bias-Tests, Stress-Tests. Bei Sprach-Modellen kommen Halluzinations-Tests, Prompt-Injection-Resistenz und Bewertungs-Harness hinzu.

Laufende Überwachung

Modell-Drift ist bei KI-Systemen die Regel, nicht die Ausnahme. Überwachung muss Performance-Metriken, Eingangs-Verteilungen und Ausgabe-Verteilungen kontinuierlich vergleichen. Schwellwerte für Re-Validierung sind vorab zu definieren, nicht reaktiv.

Erklärbarkeit und Vertretbarkeit

Foundation-Model-Antworten sind nicht vollständig erklärbar. Banken weichen darauf aus, dass die KI begründet, welche Quellen verwendet wurden (RAG-Architektur), und dass eine fachkundige Person die Letzt-Entscheidung trifft. Das deckt EBA-Erwartungen, ersetzt aber keine Validierung.

Audit-Pfade und Aufsicht

BaFin und EZB-JST verlangen reproduzierbare Pfade von Eingang über Modell-Version bis Ausgabe. Logs müssen mindestens fünf Jahre vorgehalten werden. Bei Hochrisiko-Klassifikation nach EU-KI-Verordnung kommen weitere Dokumentations-Pflichten dazu, die mit MRM-Praxis abgestimmt werden müssen.

Beratungsgespräch buchen Vollständige englische Fassung lesen

Diese deutsche Fassung wird laufend ausgebaut. Für ein konkretes Projekt nutzen Sie bitte das Beratungsgespräch oder schreiben an info@ainora.lt.