KI-gestützte Kontrollen in Schweizer Versicherungen: Bereitschaft, Lücken und der Weg nach vorne

Schweizer Versicherer stehen unter Druck: Die regulatorischen Anforderungen werden immer komplexer, das Prüfungsvolumen nimmt zu und qualifiziertes Personal ist Mangelware. KI-gestützte Kontrollen – vom automatisierten Mapping regulatorischer Anforderungen bis hin zur KI-gesteuerten Überprüfung der Wirksamkeit von Kontrollen – versprechen, alle drei Probleme anzugehen. Doch wie gut ist die zweite Verteidigungslinie im Umgang mit KI tatsächlich?

Um dies herauszufinden, haben wir im Rahmen unseres kürzlich durchgeführten Risk Roundtables Risikomanagement- und Compliance-Experten aus dem Schweizer Versicherungsmarkt, genauer aus Lebens-, Nichtlebens- und Krankenversicherungen befragt.

Wo steht die Branche

83% der Befragten nutzen KI rein experimentell, mit gelegentlichen Prompts und ohne strukturierte Einführung oder Angabe von Anwendungsfälle. Der Übergang zu einer Pilotphase oder zu einem produktiven Einsatz ist die Ausnahme, nicht die Regel.

Zwar setzen Unternehmen KI bereits für die Prüfung von Kontrollmechanismen und die Risikoberichterstattung ein, doch lassen sie derzeit noch transformative Opportunitäten in den Bereichen Risikoerkennung und Betrugsaufdeckung ungenutzt.

Die Risikowahrnehmungslücke

Bei der Bewertung von KI-Risiken nannten die Fachleute durchweg fehlerhafte Ergebnisse und unkontrollierte Datenlecks als die grössten Risiken. Die Abhängigkeit von externen Anbietern und die unbefugte Nutzung rangierten deutlich weiter unten, obwohl die FINMA diese in ihrer Aufsichtsmitteilung 08/2024 ausdrücklich als zentrale Bedenken hervorgehoben hatte. Diese Wahrnehmungslücke sollte hervorgehoben werden: Die Risiken, die den Regulierungsbehörden am meisten Sorge bereiten, sind nicht diejenigen, denen die Branche Priorität einräumt.

Die Kompetenzlücke

60% der Befragten erwarten von KI-gestützten Testagenten eine Zeitersparnis von mehr als 30 %. Die Überzeugung, dass KI einen Mehrwert bietet, ist eindeutig vorhanden.

Doch 91% schätzen ihre Teams als unzureichend gerüstet ein, um KI-gestützte Kontrollmechanismen zu überwachen. Dies ist eine unserer bedeutendsten Erkenntnisse: Die Kluft zwischen Ambitionen und Fähigkeiten ist gross. Die Vorgaben der Aufsichtsbehörde sind eindeutig – die Verantwortung für KI-gesteuerte Entscheidungen darf nicht an die Technologie oder an Dritte delegiert werden. Interne Kompetenz ist keine Option, sondern eine regulatorische Anforderung.

So sieht führende Praxis aus

Drei Bereiche unterscheiden diejenigen, die erfolgreich wachsen werden, von denen, die sich nur schwer weiterentwickeln können.

Erstens: Datenhoheit als unverhandelbares Kriterium. Für regulierte Schweizer Versicherer ist die Verarbeitung sensibler Daten innerhalb der Schweiz der Mindeststandard. Jedes Infrastrukturmodell – sei es Managed Service, ein Schweizer Cloud-Anbieter oder ein Hyperscaler – muss eine durchsetzbare Datenresidenz garantieren. Dies ist nicht nur eine Checkbox für die Compliance, sondern die Grundlage, auf der Regulierungsbehörden, Vorstände und Kunden die Vertrauenswürdigkeit bewerten.

Zweitens: Gezielte Anwendungsfälle als Katalysator. Einzelne Anwendungen wie ein „Controls Testing Agent“ können messbare Zeitersparnisse bringen und – was entscheidend ist – innerhalb der Teams und im gesamten Unternehmen Dynamik erzeugen. Ein erfolgreicher Proof of Concept demonstriert greifbaren Mehrwert, schafft interne Akzeptanz und verlagert die Diskussion von der Frage „Ob KI funktioniert?“ hin zu „Wo setzen wir sie als Nächstes ein?“.

Drittens – und das ist das Wichtigste – müssen diese einzelnen Anwendungsfälle in einen umfassenderen Transformationskontext eingebettet werden. Um KI über isolierte Pilotprojekte hinaus zu skalieren, müssen drei Hebel gleichzeitig betätigt werden: Daten (Qualität, Zugänglichkeit, Governance), Prozesse (neu gestaltet rund um KI-Fähigkeiten, nicht nachträglich angepasst) und Menschen (weitergebildet, um KI-gestützte Kontrollen zu überwachen, zu validieren und weiterzuentwickeln). Unternehmen, die KI als Technologieprojekt und nicht als Transformation aller drei Bereiche betrachten, werden in der Pilotphase stagnieren.

Der „Human-in-the-Loop“-Horizont

Die Frage, wann KI-gestützte Kontrollen ohne menschliche Überprüfung laufen können, führte zu einer der aufschlussreichsten Erkenntnisse. 91% der Teilnehmer erwarten, dass der autonome Betrieb schrittweise und selektiv eingeführt wird. Einfache, regelbasierte Steuerungen könnten innerhalb von drei Jahren vollständig automatisiert sein. Komplexe, entscheidungsintensive Steuerungen werden voraussichtlich noch fünf bis zehn Jahre oder länger menschliche Aufsicht erfordern.

Die Organisationen, die für diesen Übergang am besten positioniert sind, sind nicht diejenigen, die darauf warten, dass KI „alles macht", sondern diejenigen, die jetzt hybride Betriebsmodelle gestalten, mit klaren Protokollen dafür, welche Kontrollen automatisiert werden können und wie sich diese Grenze im Laufe der Zeit entwickelt.

Wie Deloitte in dieser Phase unterstützen kann

Wir arbeiten mit Schweizer Kunden über das gesamte Spektrum hinweg zusammen – von ersten Proof-of-Concept-Projekten zur sicheren Infrastruktur bis hin zur durchgängigen Implementierung von KI-gestützten Kontrollumgebungen. Dabei bringen wir sowohl die erforderliche regulatorische Expertise als auch die technischen Fähigkeiten mit, um diese Projekte erfolgreich umzusetzen. Ganz gleich, ob Sie Ihren ersten Anwendungsfall prüfen, Kontrolltest-Agenten evaluieren oder Ihr Zielbetriebsmodell für KI-gestützte Kontrollen entwerfen – wir verfügen über die nötige regulatorische Expertise und die technischen Fähigkeiten, um Ihre Vorhaben erfolgreich umzusetzen.
 

Autoren

• Denise Wipf, Partner, Audit & Assurance
• Dr. Madan Sathe, Partner, Forensic & Financial Crime
• Gabriel Schwab, Director, Swiss Audit & Assurance
• Magnus Kerner, Senior Manager, Swiss Audit & Assurance
• Dr. Marcel Thom, Partner, Swiss Technology & Transformation