I
Impetora
Für CROs

KI-Risiko für CROs

Der CRO sieht KI-Modelle als Modell-Risiko-Inventar-Eintrag. In Banken und Versicherungen greifen 2026 mindestens vier Regelwerke gleichzeitig: MaRisk AT 4.3.4, BAIT/VAIT, EBA-Leitlinien zu internen Modellen und EU-KI-Verordnung. Wer ein KI-Modell als Hochrisiko klassifiziert, muss Modell-Risiko-Management, Konformitätsbewertung und sektor-spezifische Aufsichts-Erwartungen in einem Verfahren bedienen.

Modell-Inventar erweitern

KI-Modelle gehören in das bestehende Modell-Inventar. Bei Foundation-Model-basierten Lösungen sind Adapter, Prompts und nachgelagerte Klassifikatoren als eigenständige Modell-Komponenten zu führen. Verantwortlicher, Zweck, Trainings-Datenbasis, Versions-Historie sind Pflicht.

Unabhängige Validierung

Vor Produktion und periodisch. Validierung deckt Daten-Qualität, Annahmen, Performance auf Out-of-Sample-Daten, Stabilität, Bias-Tests, Stress-Tests. Bei Sprach-Modellen kommen Halluzinations-Tests, Prompt-Injection-Resistenz und Bewertungs-Harness hinzu. Validierung ist organisatorisch unabhängig von Modell-Entwicklung.

EU-KI-Verordnung Hochrisiko

Bonitätsbewertung, Lebens- und Krankenversicherungs-Risikobewertung, Personalauswahl in Banken sind Anhang-III-Hochrisiko. Pflichten umfassen Risikomanagement-System (Art. 9), Daten-Governance (Art. 10), Technische Dokumentation (Art. 11), Aufzeichnungspflichten (Art. 12), Transparenz (Art. 13), menschliche Aufsicht (Art. 14).

Laufende Überwachung

Modell-Drift ist bei KI die Regel. Überwachung vergleicht Performance-Metriken, Eingangs-Verteilungen und Ausgabe-Verteilungen kontinuierlich. Schwellwerte für Re-Validierung sind vorab zu definieren, nicht reaktiv. Integration in bestehende KRI-Berichts-Wege ist Standard.

Audit-Pfade

BaFin und EZB-JST verlangen reproduzierbare Pfade von Eingang über Modell-Version bis Ausgabe. Logs müssen mindestens fünf Jahre vorgehalten werden, in einigen Bereichen bis zehn. Bei Aufsichtsprüfung sollen Pfade in Stunden, nicht in Wochen abrufbar sein.

Reporting an Vorstand und Aufsichtsorgan

MaRisk verlangt regelmässiges Risiko-Reporting. KI-Modell-Risiko gehört dort hinein, mit klar messbaren Indikatoren: Anzahl produktiver Modelle, Validierungs-Status, offene Findings, Vorfall-Statistik. Ohne diese Quantifizierung wird KI-Risiko in der Aufsichts-Wahrnehmung intransparent.

Beratungsgespräch buchenVollständige englische Fassung lesen

Diese deutsche Fassung wird laufend ausgebaut. Für ein konkretes Projekt nutzen Sie bitte das Beratungsgespräch oder schreiben an info@ainora.lt.

Discovery-Gespräch

Discovery-Gespräch buchen

Erzählen Sie uns, was Sie bauen möchten. Wir antworten innerhalb eines Werktages.

30-minütiges Gespräch. Kostenfrei. Unverbindlich.