KI in der Abschlussprüfung - 19. Dezember 2024

Integrität stärken

Heute werden über KI-Anwendungen bereits Daten erzeugt, die in den Jahresabschluss und Lagebericht einfließen. Bei allen Chancen, die der KI-Einsatz bietet, muss zu dessen Akzeptanz die Verlässlichkeit der von den Tools erzeugten Ergebnisse sichergestellt werden.

Künstliche Intelligenz (KI) ist nicht neu. Sie begleitet uns schon länger – von der Entwicklung des ersten Chatbots Eliza in den 60er-Jahren, dem Schachcomputer Deep Blue, der Schachweltmeister schlagen konnte, bis hin zu dem Programm AlphaGo, das sich im Brett- und Strategiespiel Go ebenfalls gegen die weltbesten professionellen Spieler durchsetzen konnte. Diesen Entwicklungen war gemein, dass sie zwar eine gewisse Aufmerksamkeit in der Öffentlichkeit erlangten, jedoch in der Anwendung sehr speziell und nicht für die breitere Nutzung in den Unternehmen geeignet waren. Dies änderte sich schlagartig im November 2022 mit der Veröffentlichung des Chatbots ChatGPT des US-Unternehmens OpenAI. Dieser Chatbot war im Gegensatz zu den zuvor genannten KI-Entwicklungen sehr benutzerfreundlich, einfach zugänglich und bot vielfältige Anwendungsmöglichkeiten. Das führte zu einer verstärkten KI-Nutzung, sowohl durch Unternehmen als auch Privatpersonen. Neben OpenAI haben sich seitdem viele weitere sogenannte generative KI-Modelle von Unternehmen wie Google, Anthropic, Mistral oder Aleph Alpha etabliert. Auch Open-Source-Anwendungen wie Llama von Meta werden mittlerweile angeboten. Umfragen vieler Branchenverbände und auch von Wirtschaftsprüfungsgesellschaften zeigen, dass Unternehmen vermehrt KI einsetzen oder dies planen. Gründe für den KI-Einsatz sind unter anderem eine Stärkung der eigenen Wettbewerbsfähigkeit sowie die Beschleunigung interner Prozesse. Daneben setzen auch die Mitarbeiterinnen und Mitarbeiter häufiger generative KI ein, um ihre eigenen Tätigkeiten effizienter zu gestalten, beispielsweise indem sie die KI E-Mails erstellen oder umfangreiche Texte zusammenfassen lassen. Auch Wirtschaftsprüfer nutzen verstärkt KI, um beispielsweise Muster oder Anomalien in großen Datensätzen zu entdecken oder umfangreiche Dokumente wie Verträge oder auch den Anhang zum Jahresabschluss analysieren zu lassen. Wesentliche Grundlage für die erfolgreiche Implementierung von KI-Anwendungen ist eine der Größe des Unternehmens sowie dem Umfang der KI angemessene KI-Governance mit den entsprechenden Governance-Strukturen. Aus einer von der Geschäftsleitung genehmigten KI-Strategie leiten sich die KI-Infrastruktur, wie etwa der Aufbau einer Cloud-Infrastruktur, und letztlich die eingesetzten KI-Anwendungen ab.

KI in der Abschlussprüfung

Durch die Verbreitung von KI in den Unternehmen gelangen KI-Anwendungen in den Fokus von Abschlussprüfungen. Der Prüfer hat sich bei der Erlangung eines Verständnisses für das Unternehmen und dessen Umfeld auch ein Verständnis des Informationssystems sowie der Kontrollaktivitäten zu verschaffen. Unter das Informationssystem eines Unternehmens fallen insbesondere die Verfahren und Aufzeichnungen zur Auslösung, Aufzeichnung, Verarbeitung und Berichterstattung über Geschäftsvorfälle. Werden für den Jahresabschluss relevante Geschäftsvorfälle über eine KI-Anwendung verarbeitet, wie etwa die automatisierte Buchung von digitalen Eingangsrechnungen, hat sich der Abschlussprüfer im Hinblick auf die Verarbeitung der Transaktionen sowie die Anwendung und die dazugehörige IT-Umgebung ein Verständnis zu verschaffen. Die IT-Umgebung umfasst neben der IT-Anwendung selbst auch die IT-Infrastruktur, namentlich Netzwerk, Betriebssystem, Datenbank und dazugehörige Hard- und Software, die IT-Prozesse zur Verwaltung des Zugriffs auf die IT-Umgebung, Programmänderungen oder Änderungen der IT-Umgebung sowie den IT-Betrieb und das IT-Personal. Mögliche Fragestellungen im Zusammenhang mit dem Verständnis der IT-Umgebung können sein: Wurde die KI-Anwendung selbst entwickelt oder wird ein sogenanntes Foundation Model wie ChatGPT in einer firmeninternen Ausprägung genutzt? Über welche Schnittstellen ist das KI-Modell mit anderen IT-Anwendungen im Unternehmen verbunden? Wurde die KI-Anwendung vor dem ersten Einsatz ausreichend getestet? Unterstützen Dritte, zum Beispiel externe IT-Dienstleister, beim Betrieb der KI-Anwendung?

Kontrollaktivitäten bei den KI-Anwendungen

Beim Prüfen von KI-Anwendungen im Rahmen der Abschlussprüfung muss sich der Prüfer ein Verständnis der Kontrollaktivitäten im Unternehmen verschaffen. Anschließend identifiziert er die Kontrollen, die Risiken wesentlicher falscher Darstellungen adressieren. Dies sind insbesondere Kontrollen zu bedeutsamen Risiken, Kontrollen über Journalbuchungen oder Kontrollen, die Risiken behandeln, für die aussagebezogene Prüfungshandlungen allein keine ausreichenden, geeigneten Prüfungsnachweise liefern. Wird im Unternehmen eine solche Kontrolle mithilfe einer KI-Anwendung ausgeführt, hat der Abschlussprüfer weitere Prüfungshandlungen vorzunehmen. So muss er zunächst neben der KI-Anwendung selbst auch die sich aus dem IT-Einsatz ergebenden Risiken identifizieren. Hierbei ergibt sich die Besonderheit, dass eine KI-Anwendung, anders als bisher bekannte IT-Anwendungen, in der Regel nicht regelbasiert, sondern probabilistisch arbeitet. Bei einer automatisierten Kontrolle in einer regelbasierten IT-Anwendung kann der Abschlussprüfer davon ausgehen, dass diese ihre Aufgabe durchweg auf die gleiche Weise ausführt, sofern keine Änderungen an der IT-Anwendung erfolgen, wie zum Beispiel bei einer Systemeinstellung zur Verhinderung einer Umsatzbuchung ohne korrespondierenden Warenausgang. Eine automatisierte Kontrolle in einer KI-Anwendung wird bei der Abarbeitung der Aufgabe probabilistisch vorgehen und regelmäßig ein gewisses Maß an Variation aufweisen. Das einmal erzeugte Ergebnis kann in der Regel nicht reproduziert werden. Dies kann zu alternativen und gegebenenfalls zusätzlichen Prüfungshandlungen führen, wie zum Beispiel unterjährigen Beobachtungen durchgeführter Kontrollen. Allerdings ist davon auszugehen, dass zum jetzigen Zeitpunkt die Kontrollen in den KI-Anwendungen nicht voll automatisiert, sondern lediglich zur Unterstützung der Mitarbeiter eingesetzt werden. Damit fällt den Mitarbeitern im Unternehmen die Aufgabe zu, die Ergebnisse der KI zu prüfen. Der Umfang der Überprüfung wird unter anderem davon abhängen, ob die KI ihre Ergebnisse erklärt, also wie zum Beispiel die Entscheidung getroffen wurde, und auch interpretieren kann, warum die Entscheidung von der KI so getroffen wurde. Zudem sollte eine entsprechende Schulung der Mitarbeiter erfolgen. Weitere Risiken aus dem Einsatz von KI können zum Beispiel der unautorisierte Zugriff auf die KI-Anwendung sein, mit der möglichen Folge von fehlerhaften, unautorisierten oder nichtexistierenden Geschäftsvorfällen, unautorisierte Änderungen an wesentlichen Konfigurationseinstellungen der KI-Anwendung oder ein unzureichendes Training und Testing der KI-Anwendung.

Prüfung der generellen Kontrollen

Zur Adressierung der zuvor genannten Risiken aus dem Einsatz von KI-Anwendungen haben Unternehmen sogenannte generelle IT-Kontrollen eingerichtet. Dies sind Kontrollen, die typischerweise in den IT-Prozessen des Unternehmens stattfinden und für einen ordnungsgemäßen Betrieb in der IT-Umgebung sorgen. Zudem können sie bei entsprechender ordnungsgemäßer Einrichtung und Wirksamkeit auch die Integrität der Kontrollen in den KI-Anwendungen der Geschäftsprozesse sowie die Integrität der von der KI erzeugten Informationen unterstützen. Obwohl eine Vielzahl an generellen IT-Kontrollen in einem Unternehmen existiert, wird der Abschlussprüfer nur diejenigen identifizieren, die ein zuvor identifiziertes IT-Risiko adressieren. Beispielsweise kann er das Risiko eines unautorisierten Zugriffs auf die KI-Anwendung adressieren, indem er Kontrollen zur Benutzeranlage, -änderung und -löschung, zur Berechtigungsvergabe sowie zum Zugriff auf Administrationsbenutzer mit sehr weitgehenden Berechtigungen identifiziert. Für diese generellen IT-Kontrollen hat der Abschlussprüfer dann zusätzlich die wirksame Ausgestaltung zu beurteilen sowie die Implementierung festzustellen.

Umgang mit KI-erzeugten Informationen

Nutzt der Abschlussprüfer für seine Prüfung Informationen, die durch eine KI des Unternehmens erstellt wurden, müssen diese ausreichend verlässlich sein. Er muss sich darüber bewusst sein, dass diese Informationen gegebenenfalls Halluzinationen darstellen und möglicherweise nicht mehr reproduziert werden können. Dies erfordert sowohl bei der Erlangung von Prüfungsnachweisen über die Vollständigkeit und Genauigkeit der von der KI erzeugten Informationen als auch bei der Dokumentation von Prüfungshandlungen wahrscheinlich eine andere Herangehensweise als bisher.

Fazit und Ausblick

Der Einsatz von KI bietet für die Unternehmen erhebliche Chancen, sowohl im Hinblick auf das Geschäftsmodell als auch bei der effizienteren Gestaltung der Geschäftsprozesse sowie der täglichen Arbeit eines jeden Mitarbeiters. Wesentliche Voraussetzung zur Vermeidung von Compliance-Risiken und Fehlinvestitionen beim Aufbau einer KI-Infrastruktur ist eine zuvor im Unternehmen etablierte KI-Governance mit entsprechender KI-Strategie. Für Abschlussprüfer ergeben sich durch die Besonderheiten von KI-Anwendungen gegenüber traditionellen, regelbasierten IT-Anwendungen neue Risikoüberlegungen und Herangehensweisen bei der Prüfungsdurchführung. Wirtschaftsprüfer sollten sich umgehend mit der Funktionsweise von KI-Anwendungen vertraut machen, sei es die KI in den Unternehmen oder die eigene in der Kanzlei. Diejenigen Wirtschaftsprüfer, die frühzeitig Erfahrungen mit der KI-Technologie sammeln, werden auch die sich daraus ergebenden Wettbewerbsvorteile und Effizienzen nutzen können. Daneben sollten sie sicherstellen, dass die Mitglieder des Prüfungsteams über entsprechende Kenntnisse verfügen oder sich diese durch Schulungen und Weiterbildungen aneignen. Je nach Art und Umfang der im Unternehmen eingesetzten KI kann es auch angemessen sein, einen KI-Spezialisten hinzuzuziehen. Das Institut der Wirtschaftsprüfer (IDW) hat die Entwicklungen rund um die KI bereits früh erkannt und im Frühjahr 2023 einen Prüfungsstandard zur Prüfung von KI-Systemen außerhalb der Abschlussprüfung (IDW PS 861) veröffentlicht. Sowohl zur Prüfung des Einsatzes von KI in den Unternehmen bei der Abschlussprüfung als auch zur Nutzung von KI durch den Abschlussprüfer erarbeitet das IDW aktuell entsprechende Verlautbarungen.

Zum Autor

AP
Andreas Pöhlmann

Wirtschaftsprüfer, Steuerberater und Technical Director
Digitalization & Advisory beim Institut der Wirtschaftsprüfer
in Deutschland e. V. (IDW)

Weitere Artikel des Autors