
FINMA-Aufsichtsmitteilung 08/2024: KI-Governance und Risikosteuerung für Finanzinstitute
Fünf Risikofelder, die die FINMA benennt
Die Mitteilung identifiziert fünf Risikokategorien, die Institute beim KI-Einsatz aktiv steuern müssen:
Modellrisiken entstehen, wenn KI-Systeme fehlerhafte oder verzerrte Ergebnisse liefern. Mangelnde Robustheit, unzureichende Erklärbarkeit und algorithmischer Bias können zu falschen Entscheidungen und regulatorischen Verstössen führen. Ein KI-basiertes Kreditbewertungssystem mit Bias-Problemen etwa kann regulatorische Anforderungen verletzen.
Datenrisiken betreffen Qualität, Sicherheit und Verfügbarkeit der verwendeten Daten. KI-Anwendungen sind auf grosse, repräsentative Datensätze angewiesen. Mangelhafte Datenqualität oder unzureichender Datenschutz gefährden sowohl die Ergebnisqualität als auch die Compliance.
IT- und Cyberrisiken entstehen, weil KI-Systeme tief in bestehende IT-Infrastrukturen integriert werden und neue Angriffsvektoren schaffen können. Robuste Sicherheitsmassnahmen sind besonders dort erforderlich, wo KI in kritischen Bereichen wie algorithmischem Handel eingesetzt wird.
Drittanbieterrisiken sind erhöht, wenn Institute externe KI-Plattformen oder Cloud-Dienste nutzen. Fällt ein Dienstleister aus, drohen operative Störungen oder regulatorische Verstösse. Die FINMA empfiehlt sorgfältige Due Diligence sowie Notfallpläne für den Ausfall von Drittanbietern.
Rechtliche und Reputationsrisiken entstehen, wenn algorithmische Entscheidungsprozesse unbeabsichtigt diskriminierend wirken oder Datenschutzbestimmungen verletzen. Regulatorische Sanktionen und öffentlicher Vertrauensverlust können die Folge sein.
Was die FINMA von Instituten erwartet
Obwohl die Mitteilung keine neuen Rechtsvorschriften schafft, formuliert sie konkrete Empfehlungen aus der Aufsichtspraxis:
Institute sollen ein zentrales Verzeichnis aller eingesetzten KI-Modelle und Tools führen, das Zweck, Datenbasis und Ergebnisse dokumentiert. Fehlt dieses Verzeichnis, können weder interne Kontrollen noch externe Prüfer eine fundierte Einschätzung des tatsächlichen KI-Einsatzes vornehmen.
Verwaltungsräte und Geschäftsleitungen müssen sich aktiv mit den genutzten KI-Systemen auseinandersetzen und für angemessene Risikokontrollen sorgen. KI-Risiken sind in das übergeordnete Risikomanagement des Instituts einzubetten, nicht separat zu behandeln, mit klaren Zuständigkeiten, regelmässigen Tests und laufendem Monitoring.
Ein zentraler Grundsatz lautet: Verantwortung lässt sich weder an KI-Systeme noch an externe Dienstleister delegieren. Menschen bleiben für KI-gestützte Entscheidungen haftbar.
Viele Institute noch in der frühen Phase
Im Rahmen ihrer Aufsichtstätigkeit stellte die FINMA fest, dass viele Schweizer Finanzinstitute erst beginnen, KI-Anwendungsfälle zu entwickeln. Formale Governance-Strukturen für KI sind vielerorts noch im Aufbau. Die Aufsicht mahnt, diesen Aufbau zügig voranzutreiben.
Was das für beaufsichtigte Institute bedeutet
Die Aufsichtsmitteilung 08/2024 ist ein klares Signal, dass die FINMA KI-Governance als integralen Bestandteil des Risikomanagements betrachtet. Für Institute im Bereich Finanzmarktrecht empfiehlt sich eine rasche Überprüfung bestehender Governance-Strukturen.
Institute, die bereits KI-Werkzeuge in Compliance, Risikobewertung oder Kundenkommunikation einsetzen, sollten jetzt dokumentieren, welche Systeme aktiv sind, wer verantwortlich ist und wie Fehlfunktionen erkannt und eskaliert werden. Die Aufsichtsmitteilung liefert den Rahmen; die konkrete Umsetzung liegt beim Institut selbst.
Auch für Unternehmen mit kryptobezogenen Aktivitäten, die KI-gestützte Compliance- oder Handelssysteme einsetzen, sind die Erwartungen direkt relevant.
Die vollständige Mitteilung sowie weitere Aufsichtsmitteilungen der FINMA sind auf der FINMA-Website abrufbar.
Häufig gestellte Fragen.
01Was ist die FINMA-Aufsichtsmitteilung 08/2024?
02Welche KI-Risiken benennt die FINMA?
03Müssen Finanzinstitute ein KI-Verzeichnis führen?
04Wer haftet für KI-gestützte Entscheidungen?
Weitere Beiträge aus unserer Wissensdatenbank.
Sprechen Sie mit uns.
Ein vertrauliches Gespräch in einer unserer fünf Arbeitssprachen — kostenlos und unverbindlich.

