Regulatorik-Prüfung: KI erleichtert Einhaltung gesetzlicher Vorgaben

Regulatorik Prüfung KI

26.09.2024
Florian Deuring

Auf Unternehmen in Deutschland und der EU kommen fortlaufend neue regulatorische Auflagen zu. Ein aktuelles Beispiel ist DORA (Digital Operational Resilience Act) im Finanzsektor. Die Erfüllung der Vorgaben ist für betroffene Organisationen meist mit einem sehr hohen Aufwand verbunden. Durch eine Regulatorik-Prüfung mit KI lässt sich dieser jedoch deutlich senken. Wie genau funktioniert eine Compliance-Gap-Analyse dieser Art?

Regulatorik aus Brüssel nimmt kontinuierlich zu

Sei es der Datenschutzbereich (DSGVO), die Cybersicherheit in kritischen Sektoren (NIS-2), die Nachhaltigkeitsberichterstattung (CSRD) oder die Widerstandsfähigkeit des Finanzsektors (DORA): Unternehmen in der EU werden kontinuierlich mit neuen Gesetzen und Vorgaben aus Brüssel konfrontiert. Oft geht damit ein weitreichender Maßnahmenbedarf einher. So müssen Unternehmen die regulatorischen Änderungen zunächst verstehen und ihre Auswirkungen bewerten, um schließlich die internen Prozesse anzupassen. Außerdem gilt es, Compliance-Lücken schnell zu identifizieren und zu schließen, um Sanktionen zu vermeiden. Bei dieser Aufgabe kann ein KI-gestützter Compliance-Assistent wertvolle Unterstützung leisten. Wie dies in der Praxis aussehen kann, zeigt eine Lösung namens "Regulatorik-Radar".

Regulatorik-Prüfung: KI-gestützter Compliance-Assistent entlastet menschliche Mitarbeiter

Das Regulatorik-Radar wurde vom Beratungsunternehmen Consileon in Zusammenarbeit mit Professor Jan Pieter Krahnen, einem Experten für Corporate Finance und Finanzmarktregulierung, entwickelt. Es nutzt generative KI, um Compliance-Lücken aufzudecken, und schlägt konkrete Maßnahmen vor, die sofort umsetzbar sind. Der Ansatz sorgt nicht nur für mehr Konformität, er entlastet auch Compliance-Fachkräfte. Diese müssen sich nicht länger mit Routineaufgaben wie dem manuellen Prüfen von Dokumenten befassen, sondern können sich dank Künstlicher Intelligenz wieder ihren Kernaufgaben widmen. Die finale Entscheidung hinsichtlich der Maßnahmen trifft natürlich weiterhin der Compliance Officer.

Das KI-Regulatorik-Radar verfügt über vier Kernfunktionen:

• KI-gestütztes Audit
• Reporting
• Prüfung externer IKT-Verträge
• Regulatorik-Assistent

Wie diese Komponenten arbeiten, wird am Beispiel von DORA deutlich.

Praxisbeispiel: teilautomatisierte DORA-Compliance mithilfe von KI

Im Finanzsektor wird das Regulatorik-Radar bereits erfolgreich eingesetzt. Anhand der Eckdaten eines Unternehmens ermittelt der Compliance-Assistent zunächst, welche DORA-Vorschriften im vorliegenden Fall anwendbar sind. Sodann folgt eine automatisierte Compliance-Gap-Analyse, in der die KI die sogenannte "Schriftlich fixierte Ordnung" (SfO) der Organisation mit den DORA-Regeln abgleicht. Dabei werden etwaige Compliance-Lücken erkannt und Maßnahmen zum Schließen der Gaps empfohlen. Wenn gewünscht, wird der Abgleich in eine Dokumentation überführt, die das IT-Team schnell abarbeiten kann.

Neben diesem KI-gestützten Audit verfügt das Regulatorik-Radar über eine Reporting-Komponente. Mit dieser erzeugen Verantwortliche auf einfache Weise Management- oder Statusberichte, mit denen das Finanzunternehmen seinen Berichts- und Meldepflichten gegenüber den Behörden (zum Beispiel der BaFin) nachkommen kann.

Auch die Überprüfung von externen IT-Dienstleistern ist eine wichtige DORA-Anforderung. An dieser Stelle analysiert das Radar das gesamte Vertragsportfolio auf DORA-Konformität und bereitet Optionen zum Schließen vorhandener Lücken auf.

Darüber hinaus verfügt die Lösung von Consileon über einen Chatbot (Regulatorik-Assistent), der selbst komplexe und hochspezifische Fragen rund um DORA beantworten kann. Die Antworten enthalten stets Links zu den einschlägigen Stellen innerhalb des Verordnungstextes.

So arbeitet die KI-basierte Compliance-Prüfung

Aus technischer Sicht sind es mehrere Schritte, in denen das Regulatorik-Radar einsatzfähig gemacht wird. Zunächst erhält die KI, wie bei allen KI-Lösungen, spezifische Anweisungen. Die Basis dafür bilden in diesem Fall Quelldokumente wie der Wortlaut der Verordnung, offizielle Erläuterungen sowie umfangreiche qualitätsgesicherte Interpretationen. Hinzu kommen interne Unterlagen des Anwenderunternehmens.

Nun kann die Regulatorik-Prüfung mit KI beginnen. Die Consileon-Lösung fokussiert sich hierbei vor allem auf formalisierte, monotone Aufgaben, um die Prozesse zu beschleunigen und den Personalbedarf zu reduzieren. Dank eines hohen Automatisierungsgrades werden zudem schwer erkennbare und potenziell kostspielige Risiken vermieden.

Zuletzt erfolgt die Qualitätssicherung. Hierfür nutzt Consileon die Qualitätssicherungssoftware seines Technikpartners Lighthouz AI, welche eine Reproduzierbarkeit und gleichbleibend hohe Qualität der Antworten sicherstellt. Trotz Künstlicher Intelligenz hat der Mensch stets das letzte Wort: Er überwacht den Output der KI-basierten Regulatorik-Prüfung, nimmt bei Bedarf Veränderungen oder Ergänzungen vor und trifft die Entscheidung hinsichtlich umzusetzender Maßnahmen.

Einsatz für viele weitere Regelwerke bereits in Planung

Mit der Realisierung von DORA-Compliance ist das Potenzial des KI-basierten Regulatorik-Radars noch lange nicht ausgeschöpft. Consileon arbeitet bereits daran, sein Tool für weitere Regelwerke einsatzbereit zu machen. Hierzu zählen der EU-AI-Act, die DSGVO, MaRisk, NIS-2, CSRD, die EU-Taxonomie und FATCA.