Vom manuellen Kontrollprozess zur intelligenten Automatisierung: Effizienz, Compliance und Risikominimierung im IKS

Unser Ansatz basiert auf einem dreistufigen Modell, das den Weg von manuellen Prozessen zu intelligenten, KI-gestützten Lösungen beschreibt – immer mit Blick auf IKS und Compliance.

Der erste Schritt ist der Aufbau eines soliden Fundaments. Banken benötigen klare Standards, damit ihr internes Kontrollsystem einheitlich, strukturiert und revisionssicher arbeitet. Digitale Fragenkataloge und Checklisten reduzieren Interpretationsspielräume und sichern die Qualität der Prüfungen.

Weiterhin sorgt die revisionssichere Dokumentation in GRC-Systemen wie ServiceNow oder PPS_neo dafür, dass jeder Kontrollschritt lückenlos nachvollziehbar ist. Dies stärkt nicht nur IKS und Compliance, sondern erleichtert auch interne und externe Prüfungen, die zunehmend strengere Nachweise verlangen.

Die zweite Stufe geht über die reine Standardisierung hinaus und integriert Kontrollen direkt in die täglichen Arbeitsprozesse. Kontrollaufgaben werden automatisch erzeugt, sobald bestimmte Ereignisse eintreten – etwa die Eröffnung eines neuen Depots. Digitale Eskalationen, automatisierte Erinnerungen und transparente Fristenüberwachung sorgen für mehr Effizienz und reduzieren Kontrolllücken.

Besonders wertvoll ist der Einsatz von Robotic Process Automation (RPA) für wiederkehrende, regelbasierte Aufgaben. Ein typisches Beispiel: Sobald ein neues Depot eröffnet wird, wird im System automatisch eine Kontrolle zur Einhaltung der Legitimationspflichten gestartet. Dadurch wird das interne Kontrollsystem entlastet und Mitarbeitende können sich auf risikoorientierte Tätigkeiten konzentrieren.

Die höchste Stufe bringen Methoden wie Machine Learning und Predictive Analytics ins Spiel. Diese Technologien erkennen Muster und Anomalien, bevor Risiken überhaupt entstehen. Ein KI-Modell kann auffällige Transaktionsmuster identifizieren, die auf potenzielle Geldwäsche hinweisen, und die Kontrollfrequenz dynamisch anpassen.

Dashboards visualisieren diese Erkenntnisse in Echtzeit und liefern präskriptive Handlungsempfehlungen – konkrete Hinweise, wie Risiken minimiert werden können. Um regulatorische Anforderungen und Compliance-Vorgaben zu erfüllen, setzen wir auf erklärbare KI (XAI). Methoden wie SHAP oder LIME machen sichtbar, welche Faktoren die Entscheidung des Modells beeinflusst haben – ein entscheidender Vorteil für Aufsicht und interne Revision.

Ob RPA oder KI die bessere Wahl ist, hängt vom Anwendungsfall ab. RPA eignet sich für deterministische, klar definierte Prozesse wie Schwellenwertprüfungen, Zugriffsrechte oder Dokumentationskontrollen. KI zeigt ihre Stärken, wenn es darum geht, Muster zu erkennen, Risiken vorherzusagen oder verdächtige Verhaltensweisen zu klassifizieren.

In vielen Fällen bietet die Kombination beider Ansätze den größten Mehrwert: RPA automatisiert Routineprüfungen, während KI datenbasierte Analysen ermöglicht und das interne Kontrollsystem auf ein neues Level hebt. 

Für die Identifizierung und Priorisierung automatisierungsfähiger Prozesse setzen wir auf das bewährte PPI-Trichtermodell. Dieses dreistufige Modell ermöglicht es, aus einer Vielzahl von Kontrollprozessen diejenigen auszuwählen, die sich besonders gut für eine effiziente und nachhaltige Automatisierung eignen. Es verbindet eine breit angelegte Grobanalyse mit einer fokussierten Detailanalyse, um die Automatisierung priorisierter Prozesse iterativ umzusetzen.

Im ersten Schritt werden alle infrage kommenden Kontrollprozesse einer Grobanalyse unterzogen. Hierbei wird insbesondere geprüft:

• Liegen die Eingaben des Prozesses (Input-Daten) in einheitlichen Formaten vor?
• Sind die Input-Daten maschinenlesbar (z. B. CSV, Excel) oder müssen sie zuerst aufbereitet werden?
• Wird der Prozess nach klar definierten Regeln abgearbeitet, oder spielt menschliches Ermessen eine wesentliche Rolle?

Nur Prozesse, die grundsätzlich automatisierbar sind, durchlaufen die nächste Stufe der Analyse.

Im zweiten Schritt geht es um die wirtschaftliche Bewertung der Automatisierung:

• Wie viel Mitarbeiterkapazität wird durch den Prozess gebunden?
• Sind viele Interaktionen mit verschiedenen Systemen oder Abteilungen erforderlich?

Hierbei werden automatisierungsfähige Kontrollprozesse identifiziert, die sowohl einen hohen Nutzen als auch eine wirtschaftlich vertretbare Umsetzung versprechen.

Die verbleibenden Kontrollprozesse, die es bis hierhin durch den Filter geschafft haben, werden abschließend priorisiert. Kriterien hierfür sind unter anderem:

• Stabilität des Prozessablaufs und Widerstandsfähigkeit gegenüber regelmäßigen Änderungen.
• Der Grenznutzen der jeweiligen Automatisierung sowie die Machbarkeit im bestehenden Systemumfeld.
• Das Erfordernis, Prozesse vor der Automatisierung anzupassen, damit sie gut in den Workflow integriert werden können.

Nach Abschluss der Priorisierungsphase wird die Automatisierung dieser Prozesse durch agile Teams schrittweise realisiert. Das PPI-Trichtermodell bietet eine strukturierte, transparente Grundlage, um nicht nur kurzfristige Effizienzgewinne zu erzielen, sondern auch den langfristigen Anforderungen an Compliance, Sicherheit und Skalierbarkeit gerecht zu werden.

Jede Bank ist anders. Das Trichtermodell kann die Besonderheiten beim Fragenkatalog oder der Fragengewichtung gezielt berücksichtigen. Auf diese Weise können Sie treffsicher diejenigen Kontrollprozesse identifizieren, die stabil, standardisiert und mit den in Ihrem Haus verfügbaren Technologien automatisierbar sind. Damit bildet es die Basis für eine nachhaltige Automatisierung, die sowohl regulatorischen Anforderungen als auch betrieblichen Effizienzsteigerungen gerecht wird.

Haben Sie Interesse, Ihr internes Kontrollsystem effizienter, sicherer und transparenter zu gestalten? Mit unserem bewährten Trichtermodell identifizieren und priorisieren wir Automatisierungspotenziale in Ihrem IKS – sprechen Sie uns an und profitieren Sie von gezielter Optimierung und nachhaltiger Compliance!