Schnelle Adoption, offene Kontrollfrage

Die Finanzbranche gilt als vorsichtig bei neuen Technologien. Bei generativer KI ist sie es nicht: Die Studie State of Intelligent Automation 2025 des Technologieanbieters ABBYY zeigt, dass mehr als 80 Prozent der Banken und 85 Prozent der Versicherer generative KI bereits in internen Abläufen einsetzen. Die Adoption ist da. Was fehlt, ist die Antwort auf die Frage, die jede Revision und jede Aufsicht stellt: Wie genau kam dieses Ergebnis zustande?

Im regulierten Umfeld zählt nicht nur die Leistung der Modelle, sondern ihre Kontrolle. Und genau hier liegt das Missverständnis vieler KI-Initiativen: Sie versuchen, die Kontrollfrage allein mit Explainable AI zu beantworten, also mit der Erklärbarkeit des Modells. Das ist notwendig, aber nicht ausreichend.

Warum Modell-Erklärbarkeit allein ins Leere läuft

Explainable AI beantwortet die Frage, warum ein Modell eine bestimmte Ausgabe produziert hat, über Merkmalsgewichtungen, Konfidenzwerte, Begründungstexte. Das ist wertvoll, hilft aber wenig, wenn der Gesamtprozess eine Blackbox bleibt. Ein perfekt erklärbares Modell, das an undokumentierter Stelle in einen gewachsenen Prozess eingehängt wurde, dessen Eingaben niemand validiert und dessen Ausgaben ungeprüft weiterfließen, ist für eine Prüfung wertlos.

Die relevante Einheit der Nachvollziehbarkeit ist nicht das Modell, sondern der Prozessschritt. Aufsicht und Revision wollen rekonstruieren können, welches Dokument wann einging, welche Daten extrahiert wurden, welche Prüfungen stattfanden, wo ein Mensch entschieden hat und auf welcher Grundlage. Erklärbarkeit ohne Prozesskontext ist eine technische Fußnote.

Agentenlogik als Kontrollarchitektur

Hier kommt die agentenbasierte Architektur ins Spiel, und zwar nicht als Buzzword, sondern als Strukturprinzip. Richtig aufgesetzt, zerlegt sie dokumentenintensive Prozesse in definierte Schritte: KI-Agenten analysieren Dokumente, extrahieren relevante Inhalte, prüfen Plausibilitäten und übergeben Ergebnisse an nachgelagerte Systeme. Jeder Schritt folgt definierten technischen und regulatorischen Vorgaben und bleibt vollständig nachvollziehbar.

Der Unterschied zur monolithischen KI-Lösung ist fundamental. Statt eines Systems, das ein Dokument hineinnimmt und eine Entscheidung ausgibt, entsteht eine Kette diskreter, protokollierter Operationen mit Übergabepunkten. An jedem Übergabepunkt lässt sich prüfen, messen und eingreifen. Die Nachvollziehbarkeit ist keine nachträgliche Dokumentationspflicht, sie ist eine Eigenschaft der Architektur.

Wo der Ansatz seine Stärke ausspielt

Der Sweet Spot liegt dort, wo unstrukturierte Inhalte in strukturierte Prozessdaten überführt werden müssen, und davon hat jede Bank reichlich: Kreditunterlagen, Jahresabschlüsse, Mietverträge, Grundbuchauszüge, Posteingang in der Marktfolge. Genau diese dokumentenintensiven Prozesse sind es, in denen generative KI ihre größten Effizienzhebel hat und in denen die Kontrollanforderungen am höchsten sind.

Ein Beispiel aus der Praxis: Eine Kreditakte durchläuft Klassifikation, Datenextraktion, Vollständigkeitsprüfung, Plausibilisierung gegen Bestandsdaten und Übergabe an das Kernbanksystem. Jeder dieser fünf Schritte ist ein eigener Agent mit eigenem Protokoll, eigenen Schwellenwerten und einer definierten Eskalation an den Sachbearbeiter. Fällt ein Schritt unter den Konfidenz-Schwellenwert, geht der Vorgang an den Menschen, mit allen bis dahin gesammelten Informationen.

Die Hürden ehrlich benennen

Die ABBYY-Studie zeigt auch, woran es hakt: 32 Prozent der Befragten nennen die Integration in bestehende Prozesse als Schwierigkeit, 29 Prozent sehen Qualifikationslücken in ihren Teams. Beides sind keine Modellprobleme, sondern Architektur- und Organisationsprobleme. Die Integration scheitert, wenn KI als Insellösung neben den Kernsystemen gebaut wird. Die Qualifikationslücke entsteht, wenn Fachbereiche Ergebnisse konsumieren sollen, deren Zustandekommen sie nicht verstehen.

Die Agentenarchitektur adressiert beide Punkte: Sie zwingt zur expliziten Definition der Übergabepunkte an Bestandssysteme, und sie macht jeden Schritt für Fachbereiche lesbar, weil die Prozesslogik der fachlichen Logik folgt statt der Modelllogik. Ein Sachbearbeiter muss kein Modell verstehen, um zu prüfen, ob die Vollständigkeitsprüfung korrekt konfiguriert ist.

Die Brücke zur Regulatorik

Die prozessorientierte Nachvollziehbarkeit ist nicht nur betrieblich sinnvoll, sie ist die direkte Antwort auf zwei regulatorische Anforderungen, die ohnehin kommen. Die menschliche Aufsicht, die der AI Act für Hochrisiko-Systeme verlangt, lässt sich nur an definierten Kontrollpunkten ausüben, also genau an den Übergabepunkten einer Agentenkette. Und die Protokollierungspflichten der Verordnung verlangen aufbewahrbare Logs, die ein monolithisches System oft gar nicht in prüfbarer Form erzeugt, eine schrittweise Architektur dagegen von Natur aus.

Dasselbe gilt für die gewohnte MaRisk-Welt. Modellvalidierung, Nachvollziehbarkeit von Entscheidungen und klare Verantwortlichkeiten sind dort seit Jahren verankert. Eine Architektur, die jeden Schritt protokolliert und einem Prozesseigner zuordnet, bedient diese Anforderungen, ohne dass dafür ein separates Dokumentationsprojekt nötig wäre. Die Nachvollziehbarkeit fällt als Nebenprodukt der richtigen Bauweise an, statt als nachträgliche Pflichtübung.

Ein Fehler, der teuer wird: KI neben dem Kernsystem

Der häufigste Architekturfehler ist der bequemste: KI als separate Anwendung neben den Bestandssystemen aufzustellen, mit eigenem Datenbestand und manuellen Übergaben. Das funktioniert im Piloten und kollabiert in der Produktion. Die Mitarbeitenden müssen zwischen Systemen wechseln, Daten doppelt pflegen und Ergebnisse von Hand übertragen, und genau die 32 Prozent Integrationsprobleme aus der ABBYY-Studie entstehen.

Die tragfähige Alternative integriert die Agenten in den bestehenden Workflow: Der Vorgang bleibt im führenden System, die Agenten arbeiten an definierten Stellen zu und schreiben ihre Ergebnisse zurück, die Mitarbeitenden sehen alles an einem Ort. Diese Integration ist aufwändiger in der Konzeption und um ein Vielfaches billiger im Betrieb. Sie ist der eigentliche Unterschied zwischen einer KI-Demo und einer KI-Lösung, und sie entscheidet sich in der Architekturphase, nicht im Nachhinein.

Was das für anstehende Entscheidungen bedeutet

Für Institute, die jetzt über die nächste Ausbaustufe ihrer KI-Landschaft entscheiden, ergibt sich eine klare Prüffrage an jede Lösung, ob zugekauft oder selbst gebaut: Lässt sich jeder Verarbeitungsschritt einzeln protokollieren, messen und mit einem Eingriffspunkt versehen? Lösungen, die das nicht können, kaufen sich kurzfristige Effizienz mit langfristigem Prüfungsrisiko, und spätestens mit den vollen AI-Act-Pflichten wird daraus ein handfestes Compliance-Problem.

Diese Prüffrage taugt auch als Filter im Anbietergespräch. Wer eine KI-Lösung präsentiert bekommt, sollte sich den Weg eines einzelnen Vorgangs durch das System zeigen lassen, Schritt für Schritt, mit den Protokollen, die dabei entstehen. Anbieter, die das überzeugend können, haben über Nachvollziehbarkeit nachgedacht. Anbieter, die auf die Modellqualität verweisen und die Prozesssicht schuldig bleiben, liefern eine Demo, kein prüfungsfestes System.

Sotica konzipiert solche nachvollziehbaren Prozessarchitekturen für Banken und Versicherer, von der Soll-Definition bis zur Umsetzung mit Implementierungspartner. Wer wissen will, wie weit die eigene KI-Landschaft von prüfungsfester Nachvollziehbarkeit entfernt ist, klärt das am schnellsten in einer strukturierten Bestandsaufnahme.