,

KI in der Compliance – Freund oder Feind?

Spätestens seit dem Siegeszug von ChatGPT ist Künstliche Intelligenz so präsent wie nie zuvor. Das, was vor Kurzem eher in Science-Fiction- Filmen verortet wurde, könnte schon bald auch in der Compliance Einzug halten. Sind Banken darauf vorbereitet? Fabian Behnke-Schoos von der Hamburg Commericial Bank (HCOB) mit einer Einschätzung.


Quelle: imaginima via GettyImages

In Diskussionen um Künstliche Intelligenz schwingt oft auch die Sorge mit, dass die menschliche Arbeitskraft mit der neuen Technologie hinfällig werden könnte. So stellen sich viele Compliance-Mitarbeiter die Frage, ob KI-Compliance sie ersetzen kann. ChatGPT antwortet darauf wie folgt: „Es ist unwahrscheinlich, dass KI-Systeme Compliance-Mitarbeiter vollständig ersetzen werden. […] KI-Systeme können Compliance-Mitarbeiter unterstützen, indem sie Datenanalyse und Prozessautomatisierung durchführen, um sicherzustellen, dass das Unternehmen alle Anforderungen erfüllt. KI-Systeme können auch bei der Überwachung von Transaktionen und der Erkennung von Abweichungen oder ungewöhnlichem Verhalten helfen. Allerdings gibt es viele Aspekte der Compliance-Arbeit, die menschliches Einfühlungsvermögen und Urteilsvermögen erfordern, insbesondere wenn es um ethische Fragen geht. In solchen Fällen wird es schwierig sein, KI-Systeme einzusetzen, um Compliance-Mitarbeiter vollständig zu ersetzen. Letztendlich wird es wahrscheinlich eine Mischung aus menschlicher Expertise und KI-Unterstützung geben, um die Einhaltung der Regeln und Vorschriften sicherzustellen.“

Von einer KI geht also scheinbar keine Gefahr für den eigenen Job aus. Das klingt doch erst einmal beruhigend. Erst recht, wenn selbst der vermeintliche Gegenspieler das antwortet. Oder?

Implementierungs-Hindernisse


Im Januar 2023 fand bei der HCOB ein Kick-Off-Meeting zur Implementierung von Machine Learning im täglichen Namensabgleich- Verfahren (NAV) statt. Beim NAV geht es um den Vergleich der Namen der Geschäftspartner (GP) der Bank mit Namen aus einer anderen Quelle wie etwa Sanktions- oder PEP-Listen, den sogenannten Suchelementen (SE). Nahezu jede Bank wird vermutlich einen solchen oder ähnlichen Prozess regelmäßig durchführen.

Möchte man Machine Learning dafür einsetzen, benötigt man zunächst einen historischen Datensatz von abgeklärten Treffern. Sie wurden von Mitarbeitern bearbeitet, um die Maschine zu „trainieren“. Jeder Treffer besteht dabei aus der Kombination eines GPs und eines SEs und der getroffenen Entscheidung „übereinstimmend“ oder „nicht übereinstimmend“. Anhand jeder einzelnen Entscheidung leitet die KI ab, wie hoch die Wahrscheinlichkeit ist, dass SE und GP übereinstimmen. Dabei gilt der Grundsatz „more is more“: je mehr abgeklärte Treffer der KI zum Lernen vorgelegt werden, desto präziser das errechnete Ergebnis. Um eine KI erfolgreich zu trainieren, werden in der Regel mindestens 10.000 abgeklärte Treffer in einem Datensatz benötigt.

Bevor eine KI überhaupt implementiert werden kann, muss ihre Funktion verstanden und die Aufgabe ausreichend gut beschrieben werden können. Im oben genannten Fall errechnet die KI anhand der vorhandenen Buchstaben im Namen des GPs und des SEs eine Übereinstimmungsquote. Mithilfe der getroffenen Entscheidung „übereinstimmend“ oder „nicht übereinstimmend“ lernt die KI, wie hoch eine Übereinstimmung im Durchschnitt sein sollte und kann sie entsprechend kategorisieren.

Die Grenze der KI


Obwohl die KI mit einer großen Datenbasis in der Lage ist, sehr schnell zu lernen, kommt sie in der Realität früh an ihre Grenzen. Dabei sind drei wesentliche Probleme auszumachen:

  • Hohe Übereinstimmung mit generischen Wörtern
    Oft stößt man in Firmennamen auf generische Wörter wie „International“, „Europe“, „GmbH“ oder „Holding“. Je mehr dieser Wörter sich zum eigentlichen Firmennamen gesellen, desto schwieriger wird es für die KI zu unterscheiden, ob die Wörter für das Matching eine Bedeutung haben. Sie muss also darauf programmiert werden, bestimmte generische Wörter nicht zu berücksichtigen. Das bedarf einer präzisen Kalibrierung.
  • Zugehörigkeit zu einer Unternehmensgruppe
    Ähnlich wie im ersten Problemfeld erkennt die KI unter Umständen nicht, dass zwei Elemente übereinstimmend sind, da sie Teil der gleichen Unternehmensgruppe sind. Die Verwendung vieler generischer Wörter verwässert die essentielle Firmenbezeichnung. Auch hier bedarf es einer guten Kalibrierung des Systems, um die KI nicht zu „verwirren“.
  • Clone Companies
    Nicht selten finden sich in den Suchelementen sogenannte „Clone Companies“. Es gibt Kriminelle, die sich etwa als großes deutsches Kreditinstitut ausgeben, um Gewinne zu erzielen. Hier kann es sein, dass das echte Unternehmen im GP-Bestand auftaucht und die geklonte Firma als Suchelement. Obwohl die Namen zu 100 Prozent übereinstimmen, wurde die Entscheidung „nicht übereinstimmend“ getroffen – die KI ist richtigerweise irritiert. Hier muss der KI mitgeteilt werden, dass sie die Beschreibung des Suchelements nach dem Begriff „Cloned entity“ durchsuchen soll. Falls dieser Begriff in der Beschreibung gefunden wird, bewertet die I das Match aus GP und SE als „nicht übereinstimmend“.

Das Problem der Validierung

Selbst wenn einer KI ein optimaler Datensatz zum Lernen vorliegt, stellt sich die Frage, welche Form der Nutzung im Alltag gewünscht ist. Soll die KI weitestgehend selbstständig sämtliche Treffer abklären? Oder sollen nur bestimmte Treffer, etwa solche mit hohem oder sehr hohem Risiko, weiterhin von Mitarbeitern geklärt werden? Wie oft werden die Ergebnisse der Maschine überprüft? Ist ihre Überprüfung
im Endeffekt zeitaufwendiger als die manuelle Abklärung? Wer haftet, wenn die Maschine einen Fehler macht und durch das Übersehen eines echten Treffers ein Schaden entsteht?

Hierzu bedarf es sowohl einer gewissenhaften Risikoabwägung als auch einer detaillierten Konzeptvalidierung. Erforderlich sind eine Prüfung und Zustimmung einer Abteilung innerhalb eines Unternehmens, etwa in der IT oder in der Internen Revision, oder eines externen (Wirtschafts-)Prüfers. Ob eine solche externe Dienstleistung aufgrund der Kosten den Einsatz von KI unrentabel macht, gilt es sorgfältig abzuwägen. Auch ein Betriebsrat könnte gegebenenfalls Mitbestimmung einfordern, sollte ein Unternehmen menschliche Arbeit durch Automatisierung ergänzen oder sogar ersetzen wollen.

Dead on Arrival?

Man könnte meinen, dass Machine Learning schon im Ansatz gescheitert ist, da die vorgenannten Punkte eine zu große Herausforderung darstellen. Doch es ist davon auszugehen, dass KI in den nächsten Jahren weiterentwickelt wird und nicht mehr aus der (Arbeits)welt verschwindet. So wird KI beim Programmieren schon jetzt sehr erfolgreich eingesetzt. Und heute können Machine-Learning-Konzepte angewendet werden, um die menschliche Arbeit zu überprüfen. So lassen sich durch die KI alle Treffer auswerten, bei der die Maschine die Entscheidung „übereinstimmend“ beziehungsweise „nicht übereinstimmend“ anders getroffen hätte, als es menschliche Benutzer getan hätten. Dadurch können potenzielle Falschabklärungen erkannt, korrigiert und der Datenbestand weiter optimiert werden, was wiederum zu besseren Ergebnissen der KI führt.

Auf lange Sicht ist es wahrscheinlich, dass KI menschliche Arbeitskräfte unterstützt und ihre Arbeit sich zumindest teilweise auf die Überprüfung und Überwachung der KI verlagern wird. Nicht zuletzt kann der Einsatz von KI ein wichtiger Wettbewerbsvorteil sein.

Ein autarkes Mitarbeiten der KI liegt allerdings noch fern. Schlussendlich ist es für Vorstände nahezu unmöglich, interne oder externe Gruppen eine Implementierung von KI nur aufgrund – und damit auf Basis – eines Codes zu treffen. Hier sind die Aufsichtsbehörden und Gesetzgeber gefragt. Es bedarf klarer Vorschriften und regulatorischer Leitplanken, die die Nutzung von KI in bestimmten Fällen ermöglicht.

Der Prüfungsaufwand von Mitarbeitern in der Compliance wird aufgrund stetig steigender regulatorischer Anforderungen zunehmen. Da erscheint es nicht sinnvoll, dass die Arbeitskraft in das „Wegklicken“ von falsch-positiven Treffern investiert wird. Vielmehr sollte sich menschliche Intelligenz mit echten, praxisrelevanten Situationen und komplexen Aufgabestellungen beschäftigen, Zusammenhänge herstellen und Lösungen ableiten. Denn bei diesen Aufgaben stößt Künstliche Intelligenz an ihre Grenzen.

Fabian Behnke-Schoos

Hamburg Commercial Bank.

Fabian Behnke-Schoos is Senior Expert im Compliance-Bereich Anti Financial Crime der Hamburg Commercial Bank.