Machine Learning (ML) – Next Generation Anti Money Laundering (AML) und Risikomanagement
Die Digitalisierung in der Bankenlandschaft hat schon lange Einzug gehalten. Warum sind aber immer noch so viele digitale Möglichkeiten und Technologien ungenutzt oder liegen brach?
Im Wesentlichen sammeln, prüfen und analysieren wir Daten und Informationen entsprechend der regulatorischen Anforderungen der Bankenaufsicht. Dabei führt der Mensch noch immer das Gros der Arbeiten aus, um die Risiken zu quantifizieren bzw. die internen Prozesse wie zum Beispiel Know your Customer (KYC) oder das Screening und Monitoring der Transaktionen oder die Risikoanalyse durchzuführen. Doch in den letzten Jahren wird die Datenmenge immer größer (Big Data) und die Schlagzahl hat sich durch immer stärker vernetzte Finanzmärkte und neue Geschäftsmodelle weiter erhöht. Was ist daher wichtig im Kontext der Einhaltung der Sorgfaltspflichten für die Finanzdienstleistungsbranche?
Im Konsultationspapier vom 15. Juli 2021 der BaFin „Maschinelles Lernen in Risikomodellen – Charakteristika und aufsichtliche Schwerpunkte“ wird darauf verwiesen, dass es keine einheitliche Definition von maschinellem Lernen (was zum einen an der Vielzahl unterschiedlicher Ansätze liegt, zum anderen daran, dass keine klare Trennlinie zu traditionellen Techniken existiert) gibt. Allerdings sind bestimmte Charakteristika bei ML-Methoden häufig besonders stark ausgeprägt, wodurch sie sich von traditionellen Techniken abheben. Da die regulatorischen Grundlagen technologieneutral formuliert sind, dürften sie sich gegebenenfalls auf die Charakteristika von ML-Methoden übertragen lassen. Die Antwort auf die Frage der notwendigen Anpassung der regulatorischen Grundlagen bleibt dem derzeit laufenden Konsultationsverfahren abzuwarten. Fest steht allerdings, dass ML bereits vielfach in internen Prozessen in der Geldwäsche beziehungsweise AML eingesetzt wird und wichtig ist, dass die Verfahren beschreibbar sind.
Banken und Versicherer nutzen Methoden des Maschinellen Lernens bereits in den Bereichen bei der Geldwäsche und Betrugserkennung sowie bei Analysen im Kreditprozess. In internen Risikomodellen finden sich ML-Techniken dagegen bisher nur vereinzelt im Einsatz. Zugleich schätzen manche Banken und Versicherer sie als vielversprechend ein, da schon heute Unterstützungs- oder Challengertools für die Validierung interner Modelle verwendet werden. Die BaFin und Bundesbank hatten im Konsultationspapier vorgeschlagen, auf eine Definition von ML zu verzichten. Stattdessen soll das interne Modell anhand gewisser Charakteristika untersucht und erforderliche aufsichtliche Schritte abgeleitet werden. Dieses technologieneutrale Vorgehen ist zu begrüßen, andererseits entbindet es nicht von der Verpflichtung, dass die Entwicklung und die Verwendung der Modelle nachvollziehbar bleiben und klar abgeleitet sind. Daher ist der Fokus auf Umfang und Angemessenheit der Datengrundlage sowie der Datenqualität zu richten, das heißt die Datengovernance spielt eine elementare Rolle.
Herausforderungen an das AML: Datenverständnis ist schwierigster Teilschritt
Das Verstehen der Daten, also das Bereitstellen von Hintergrundwissen für die Fachbereiche, ist für Unternehmen der komplizierteste Teil von ML-Prozessen. Das bedeutet, die Definition des Hypothesenraums (Anforderungsmanagement) und die Auswahl sowie das Bereinigen von Daten sind kompliziert und daher eine große Herausforderung. Auffallend ist, dass viele Teilschritte im Rahmen von ML-Projekten gleichermaßen als komplex betrachtet werden, etwa rechtliche Fragen, die Überführung in den Produktivbetrieb und die Reduzierung der Datenmengen. Und dies unabhängig von der Unternehmensgröße. Vor allem der Umgang mit Daten erweist sich als schwierig, obwohl oftmals bereits eine unternehmensweite Datenstrategie implementiert ist. Diese Strategie muss möglicherweise besser auf Machine Learning abgestimmt werden. Die Geschäftsmodelle und die Anforderungen an regulierte Institute benötigen offene, moderne und modulare Architekturen, um flexibel am Markt agieren zu können. Die Gewährleistung der regulatorischen Konformität und die Möglichkeiten die Digitalisierung optimal zu nutzen, stellen
auch neue, noch stärkere Herausforderungen an das IT-Management der Unternehmen. Die Einführung einer leistungsfähigen IT-Architektur, welche flexibel auf neue Anforderungen und Leistungen (wie z. B. das Machine Learning oder AI-gestützte Verfahren) reagieren kann sowie die Konzeptionierung eines Geldwäsche Datamarts mit allen relevanten Daten zu Analyse, Bewertung und Aktivitäten ist zwingend erforderlich. Dabei sind eine integrierte und automatisierte Data-Governance sowie einheitliche und ganzheitliche, bereichsübergreifende Daten und Informationsmodelle eine Grundvoraussetzung für den erfolgreichen und effektiven Einsatz von Machine Learning.
1. Die Daten sind übergreifend und ohne silohafte Brüche, also starre Strukturen, aufzubereiten. Die Datenqualität muss ausgebaut werden. Daten sind miteinander zu verknüpfen und übergreifend zu analysieren. Idealerweise sind dies nicht nur Daten aus dem Meldewesen, sondern auch Informationen aus den Medien, von Analysten und weiteren Quellen. Analysetools, die unter anderem auf Advanced-Analytics-Methoden, Machine Learning und Text Mining basieren, sind hier wichtige einzusetzende Technologien.
2. Kunden Dashboards stellen künftig alle relevanten bankaufsichtlichen Informationen zur Verfügung. So wird sichergestellt, dass zu jeder Zeit eine vollständige Sicht auf die Daten und Informationen besteht. Auf dieser Grundlage wird die Bearbeitung von Vorgängen und Treffern wesentlich verbessert und kann auch automatisiert werden.
Herausforderungen des Datenmanagements beim Einsatz von ML
Für ein aussagekräftiges und regulatorisch konformes Risikomanagement ist ein effektives Datenmanagement ein zentraler Baustein. Insbesondere die Datenqualit t und dessen Management sind bereits jetzt ein Schwerpunkt der Regulatorik und des aufsichtlichen Handelns. Sind die Anforderungen an das Datenmanagement mit einem hohen Grad an Automatisierung schon gestiegen, so ist die Datengrundlage sowohl Ausgangspunkt als auch zentraler Erfolgsfaktor beim Einsatz von ML-Methodik. Durch Big Data sind große und unstrukturierte Daten erschlossen worden und auch für ML relevant. In Kombination mit angestrebter oder notwendiger Prozessautomation kann die Verwendung solcher Daten aber die Gefahr beinhalten, dass Hypothesen und Informationen in ML-Verfahren einbezogen werden, ohne dass jegliche fachliche Interaktion stattgefunden hat. Entscheidungen auf Grundlage schlechter Datenqualität oder fachlicher Relevanz stellen ein zugrundeliegendes Problem dar und stellen in diesem Kontext die Sinnhaftigkeit des Einsatzes von ML in Frage.
Daher ist ein wesentlicher Erfolgsfaktor fachliche Anforderungen vorab zu klären und ein stringentes Datenmanagement aufzusetzen, bevor mit der eigentlichen Modellentwicklung und dem Einsatz von ML begonnen werden sollte. Dadurch werden – insbesondere wenn auch Metadaten herangezogen werden – die Robustheit der ML-Modelle und die Qualität der Ergebnisse gestärkt. So bieten sich weitere Vorteile: fehlende Informationen und unvollständige Daten können intelligent ergänzt werden oder im Rahmen des Datenschutzes auch mit anonymisierten beziehungsweise pseudoanonymisierten Daten sinnvolle Ergebnisse erzielt werden.
Auswirkung und Anforderungen auf die IT
Beim Einsatz von ML-Methodik wird diese oft an einen spezialisierten Dienstleister ausgelagert. Dies ist im Kontext der herausfordernden Integration von ML-Methoden in die bestehende „On-Premise“-IT zu sehen. Insbesondere FinTechs und BigTechs bieten modulare Systeme oder Services zum Einsatz von ML an und stellen meist die darauf zugeschnittene IT-Infrastruktur zur Verfügung. Diese Technologien werden als „cloud native“ bereitgestellt. Die aufsichtsrechtliche Beurteilung und Bewertung ändert sich im Kontext von ML nicht gegenüber anderen Auslagerungs- und Dienstleistungsverhältnissen; die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) decken auch diese Anwendungsfälle ab. Hingegen verschiebt sich aber der Fokus der Governance und wie diese ausgeübt werden sollte. Neben der klassischen Daten- und Informations-Governance wird im ML die Modell-Governance wichtiger bzw. muss als Ausprägung der Governance neu eingeführt werden. Durch eine Modell-Governance soll sichergestellt werden, dass ML-Services oder -Lösungen als sogenannte „Black Box“ mindestens validierbar sind und gegenüber der Aufsicht Plausibilität nachgewiesen werden kann. So können XAI-Techniken (eXplainable Artificial Intelligence) ein Weg sein, zumindest prinzipielle Erklärbarkeit herbeizuführen. Hierbei ist eine Abwägung zwischen einfacher Umsetzung und Performance gegenüber Erklärbarkeit zu treffen. Da sich einzelne ML-Use-Cases sehr voneinander unterscheiden können, ist eine Einzelfallprüfung und eine regelmäßige Überprüfung der eingesetzten ML-Modelle im Rahmen der Modell-Governance zu verankern. Zusammen mit unserem Framework zur Informations-Governance und einer etablierten Modell-Governance werden alle drei im Konsultationspapier der BaFin genannten Dimensionen eines AI/ML-Szenarios abgedeckt:
1. Die Methodik und Datengrundlage als Grundlage des Modellrisikos im Kontext der Komplexität von ML-Anwendungen,
2. die Bewertung der Nutzung des Outputs innerhalb des Risikomanagements und
3. das Ableiten der Anforderungen an Auslagerung oder der zugrundeliegenden IT-Infrastruktur.
Fazit
Wenn wir die vielen Anforderungen und Komplexitäten auf einen Nenner bringen wollen, kann Machine Learning viele Möglichkeiten zur Lösung bieten. Dies benötigt aber Weitsicht und ein aktives Change Management in Form einer übergreifenden Sichtweise und einer Transformation des Datenmanagements. Ebenso wie die daraus resultierenden Anforderungen an das IT-Management und die Geldwäscheverantwortung der Unternehmen eine entsprechende Modell- Governance brauchen, die es zu implementieren gilt. Somit bietet ein Information Platform Framework einen ganzheitlichen Rahmen, um die aufsichtlichen Anforderungen, die Ableitungen und die Verwendung der Modelle nachvollziehbar darzulegen und zu dokumentieren.
Autoren: Ingrid Vollweiter, Matthias Jostock
Quelle: Geldinstitute 02/2022