Die FINMA hat im Dezember 2024 die Guidance 08/2024 zu Governance und Risikomanagement beim Einsatz künstlicher Intelligenz publiziert. Damit ist KI-Governance nicht mehr optional, sondern eine aufsichtsrechtliche Erwartung. Für Compliance-Abteilungen in Banken, Versicherungen und Vermögensverwaltern bedeutet das: neue Pflichten, neue Dokumentation, neue Prozesse.
Dieser Artikel erklärt, was die FINMA konkret verlangt, wo die meisten Institute heute stehen und welche Schritte jetzt Priorität haben.
Was die FINMA Guidance 08/2024 verlangt
Die Guidance formuliert keine neuen Gesetze. Sie konkretisiert bestehende Aufsichtspflichten im Kontext von KI-Systemen. Die Kernforderungen:
1. KI-Inventar erstellen
Jedes beaufsichtigte Institut muss wissen, welche KI-Systeme es einsetzt. Nicht nur die offensichtlichen (Chatbots, Betrugserkennung), sondern alle Systeme, die automatisierte Entscheidungen treffen oder vorbereiten. Ein CRM mit integriertem Lead-Scoring ist ein KI-System. Ein automatischer Dokumentenklassifizierer auch.
Die FINMA erwartet ein vollständiges Inventar mit: Systemname, Zweck, Dateninputs, Entscheidungsoutputs, Anbieter, Einsatzbereich und Risikobewertung.
2. Risikoklassifizierung durchführen
Jedes inventarisierte KI-System muss nach Risiko bewertet werden. Die FINMA gibt keine starre Klassifizierungsmatrix vor, aber sie erwartet eine nachvollziehbare Methodik. Relevante Risikodimensionen: Auswirkung auf Kundenentscheidungen, Datensensitivität, Erklärbarkeit, Bias-Potential.
Ein interner Chatbot, der Mitarbeitende bei HR-Fragen unterstützt, ist niedrigeres Risiko. Ein Kreditscoring-Modell, das über Hypothekenvergaben mitentscheidet, ist hohes Risiko. Die Klassifizierung bestimmt die Tiefe der Governance-Anforderungen.
3. Governance-Framework dokumentieren
Für mittlere und hohe Risiken verlangt die FINMA ein dokumentiertes Governance-Framework. Das umfasst: klare Verantwortlichkeiten (wer entscheidet über den Einsatz von KI?), Genehmigungsprozesse (wie wird ein neues KI-System freigegeben?), laufende Überwachung (wie wird die Modellqualität überprüft?) und Incident-Management (was passiert, wenn ein KI-System fehlerhafte Ergebnisse liefert?).
4. Rechenschaft gegenüber dem Verwaltungsrat
Die Guidance stellt klar, dass der Verwaltungsrat die Gesamtverantwortung für KI-Risiken trägt. Das bedeutet: Der VR muss informiert sein, welche KI-Systeme das Institut einsetzt, welche Risiken bestehen und wie diese mitigiert werden. Ein jährlicher KI-Risikobericht an den VR ist die Mindesterwartung.
Wo die meisten Institute heute stehen
Die Realität in den meisten mittelgrossen Schweizer Finanzinstituten sieht so aus:
- Es existiert kein vollständiges KI-Inventar. Einzelne Abteilungen nutzen KI-Tools (oft ChatGPT Enterprise), ohne dass die Compliance-Abteilung davon weiss.
- Die Risikoklassifizierung fehlt, weil niemand definiert hat, was «KI» im institutionellen Kontext genau umfasst.
- Governance-Frameworks existieren für IT-Risiken generell, aber nicht spezifisch für KI.
- Der VR hat das Thema auf dem Radar, aber keine strukturierte Berichterstattung erhalten.
Das ist keine Anklage. Es ist die Ausgangslage. Die Guidance ist jung, die Anforderungen sind neu, und die meisten Institute handeln in gutem Glauben. Aber die FINMA wird bei der nächsten Prüfung fragen. Und dann muss die Dokumentation stehen.
Fünf Schritte, die jetzt Priorität haben
Schritt 1: KI-Inventar erstellen (Aufwand: 2-4 Wochen)
Befragen Sie jede Abteilung: «Welche Software-Tools verwenden Sie, die automatisierte Empfehlungen, Bewertungen oder Entscheidungen generieren?» Erfassen Sie alles in einer strukturierten Liste. Einschliesslich Drittanbieter-Tools. Einschliesslich ChatGPT-Nutzung auf Firmengeräten.
Schritt 2: Risikobewertung durchführen (Aufwand: 1-2 Wochen)
Definieren Sie eine Risikomatrix mit mindestens drei Stufen (niedrig, mittel, hoch). Bewerten Sie jedes System. Dokumentieren Sie die Begründung. Die Methodik muss nachvollziehbar sein, nicht perfekt.
Schritt 3: Governance-Policies entwerfen (Aufwand: 2-4 Wochen)
Für Hochrisiko-Systeme: wer genehmigt den Einsatz? Wer überwacht die Modellqualität? Welche Eskalationswege gibt es? Für alle Systeme: wer ist der interne KI-Verantwortliche?
Schritt 4: VR-Bericht vorbereiten (Aufwand: 1 Woche)
Ein strukturierter Bericht: Anzahl KI-Systeme, Risikoverteilung, Governance-Status, identifizierte Lücken, Massnahmenplan. Der VR braucht Überblick, nicht Detail.
Schritt 5: Laufende Überwachung einrichten (Aufwand: laufend)
Regulatorische Änderungen im KI-Bereich kommen laufend. Die FINMA wird die Guidance weiterentwickeln. Wer die Änderungen nicht systematisch überwacht, gerät ins Hintertreffen.
Die Verbindung zum EU AI Act
Schweizer Finanzinstitute, die Kunden im EU-Raum bedienen, müssen neben der FINMA Guidance auch den EU AI Act beachten. Die volle Durchsetzung beginnt am 2. August 2026. Die Anforderungen überlappen sich teilweise (Risikobewertung, Dokumentation, menschliche Aufsicht), gehen aber in einigen Bereichen weiter (CE-Kennzeichnung, EU-Datenbankregistrierung, Konformitätsbewertung).
Eine integrierte Compliance-Strategie, die beide Regelwerke abdeckt, spart Zeit und vermeidet Doppelarbeit.
Was Mont Virtua tut
Wir bauen eine Plattform, die FINMA-Rundschreiben, Wegleitungen und regulatorische Änderungen in Echtzeit überwacht. 27 FINMA-Tabellen sind bereits strukturiert und durchsuchbar. Jede Antwort verweist auf die offizielle Quelle. Gehostet in der Schweiz. Kein US Cloud Act.
Zusätzlich bieten wir eine strukturierte EU-AI-Act-Compliance-Bewertung an: Risikoklassifizierung, Dokumentationslückenanalyse und Massnahmenplan. Kein offenes Beratungshonorar, sondern ein klar definierter Festpreis.
Weitere Informationen: montvirtua.com
Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar.