KI-Audit: Chancen und Risiken des neuen ISO-Standards
Digitalisierung & Innovation
13. Januar 2026
Die Künstliche Intelligenz (KI) steuert zunehmend auch rechnungslegungsrelevante Prozesse in den Unternehmen – was die Prüfung der KI-Systeme beim Audit zur Pflicht macht. Die Unternehmen müssen dazu frühzeitig eine robuste KI-Governance etablieren. Der Standard ISO/IEC 42001 gilt hierbei als wegweisend – unproblematisch ist er nicht.
Die meisten Unternehmen haben den Mehrwert der KI erkannt und setzen sie daher in immer mehr Bereichen ein. Auch in Finanz- und Steuerungsprozesse wird die Technologie zunehmend integriert: KI-basierte IT-Systeme lenken die Lagerwirtschaft, generieren Finanzberichte, schätzen Rückstellungen und optimieren die Internen Kontrollsysteme (IKS) – und werden damit zu einem zentralen Prüfobjekt beim Jahresaudit.
KI basiert in der Regel auf komplexen Algorithmen und maschinellem Lernen; ihre Entscheidungswege sind nicht deterministisch angelegt, sondern beruhen auf Wahrscheinlichkeiten. Diese „Black-Box“-Natur der KI stellt die Prüfer*innen vor ein Problem: Wie sollen sie die Angemessenheit und Effektivität eines Systems bewerten, das nicht eindeutig nachvollzogen werden kann? Damit das gelingt, braucht es eine robuste KI-Governance: Ein Rahmenwerk aus Regelungen, Rollen, Verantwortlichkeiten und Prozessen, welches sicherstellt, dass das KI-System ethisch, transparent und gesetzeskonform betrieben wird. Die Prüfer*innen kontrollieren damit nicht die technische und fachliche Funktionsweise des KI-Systems, sondern sie bewerten die Zuverlässigkeit des Governance-Rahmenwerks.
Vorgaben für ein solches Rahmenwerk beschreibt der internationale Standard für KI-Managementsysteme ISO/IEC 42001. Mit ihm gewährleisten die Unternehmen den geforderten verantwortungsvollen Einsatz ihrer KI – und damit auch die Prüfbarkeit der Systeme. Um die Bedeutung der Norm besser einschätzen zu können, soll zunächst ihre strategische Bedeutung dargestellt werden. Im Anschluss fassen wir die wichtigsten Erkenntnisse aus der Prüfungspraxis mit der ISO/IEC 42001zusammen. Auf dieser Basis lassen sich schließlich erste praktische Empfehlungen bei der Umsetzung des Standards geben.
Strategische Rolle von ISO/IEC 42001 beim Audit von KI-Systemen
Die KI-Verordnung der Europäischen Union (EU AI Act) setzt einen entscheidenden Meilenstein in der Regulierung von IT-Systemen, die auf Methoden und Verfahren der Künstlichen Intelligenz (KI) basieren. Sie etabliert einen umfassenden Rechtsrahmen, der KI-Systeme definiert und strenge Anforderungen an ihre Entwicklung und Nutzung sowie an ihren Betrieb stellt. Gemäß dem Gesetz wird ein KI-System allgemein als Software definiert, die mithilfe von maschinellem Lernen, logikbasierten Ansätzen oder statistischen Techniken entwickelt wurde und die Ergebnisse generiert, die Entscheidungen in ihrem Umfeld beeinflussen kann. Obwohl die Anforderungen an KI-Systeme im EU AI Act festgeschrieben sind, können sie eine erhebliche Herausforderung für technische Expert*innen sein, die mit der juristischen Terminologie nicht vertraut sind. Die Komplexität des EU-KI-Gesetzes stellt die Unternehmen insbesondere vor die Frage, wie sie rechtliche Verpflichtungen in umsetzbare technische und betriebliche Praktiken überführen können.
Hier kommt ISO/IEC 42001 als strategischer Wegbereiter ins Spiel. Der internationale Standard verzahnt KI-Managementsysteme mit bestehenden Organisationsstrukturen und schließt damit die Lücke zwischen rechtlichen Erwartungen und ihrer technischen Umsetzung. Als erster Standard seiner Art umfasst ISO/IEC 42001 Mechanismen zur Risikobewertung, Rechenschaftspflicht, Transparenz von KI-Systemen und zur kontinuierlichen Verbesserung des gesamten Managementsystems. Die Unternehmen nutzen den Standard zudem, um die erforderlichen Nachweise über eine verantwortungsvolle KI-Nutzung zu erbringen.
Häufige Herausforderungen bei Audits
Die Prüfung eines KI-Managementsystems nach ISO/IEC 42001 stellt besondere Herausforderungen dar, die sich über den gesamten Auditzyklus erstrecken – von der Planung bis zur abschließenden Berichterstattung. In der Praxis stoßen Prüfer*innen häufig auf folgende Probleme:
- Eine der ersten Hürden bei der Planung eines ISO/IEC 42001-Audits ist die Definition des Umfangs der KI-Systeme im Unternehmen. Viele Unternehmen haben Schwierigkeiten, ein umfassendes und aktuelles Inventar der KI-Anwendungen zu führen, insbesondere wenn KI-Funktionen in umfassendere Softwaresysteme eingebettet sind – das erschwert die Risikoklassifizierung.
- Prüfer*innen stellen häufig fest, dass Organisationen keine klar definierten Governance-Rahmen für KI haben. Rollen und Verantwortlichkeiten im Zusammenhang mit der KI-Aufsicht sind entweder unklar beschrieben oder werden abteilungsübergreifend inkonsistent angewendet – das erschwert es, KI-bezogene Risiken zu bewerten.
- Viele Organisationen dokumentieren KI-relevante Prozesse nicht ausreichend. Risikobewertungen fehlen, sind veraltet oder zu allgemein, um aussagekräftig zu sein. Diese Lücke beeinträchtigt die Fähigkeit der Organisation, die Einhaltung sowohl der ISO/IEC 42001 als auch des risikobasierten Ansatzes des EU-KI-Gesetzes nachzuweisen.
- Prüfer*innen stoßen häufig auf fragmentierte oder isolierte Nachweise im Zusammenhang mit Design, Entwicklung, Betrieb, Einsatz und Überwachung von KI-Systemen. Dies erschwert die Nachvollziehbarkeit von Entscheidungen, die Validierung von Kontrollen und die Überprüfung, ob ethische und rechtliche Aspekte während des gesamten Lebenszyklus berücksichtigt wurden.
- Technische Teams haben oft Schwierigkeiten bei der Interpretation rechtlicher und ethischer Aspekte der KI-Governance. Konzepte wie Fairness, Transparenz und menschliche Kontrolle werden nicht immer in nachvollziehbare technische Praktiken umgesetzt.
- Manche Unternehmen konzentrieren sich stark auf technische Sicherheitsvorkehrungen wie Modellvalidierung, Bias-Erkennung und Leistungskennzahlen und vernachlässigen dabei umfassendere organisatorische Kontrollen.
- Effektive KI-Governance erfordert den Input verschiedener interner und externer Stakeholder. Audits zeigen jedoch häufig, dass die Einbindung der Stakeholder nur ad hoc erfolgt oder sich auf technische Teams beschränkt. Das schwächt die Fähigkeit des Unternehmens, systemische Risiken zu erkennen und zu managen.
- Vielen Organisationen fällt es schwer, nachzuweisen, wie die aus KI-Vorfällen, Audits oder Leistungsbeurteilungen gewonnenen Erkenntnisse in das System zurückfließen. Doch ohne Feedbackschleifen kann es keine kontinuierliche Verbesserung geben.
Lessons learned: Sechs Empfehlungen für zukünftige Audits
Aus den Erkenntnissen vorangegangener Bewertungen lassen sich sechs Empfehlungen ableiten, um die Effektivität und den Wert von KI-Managementsystem-Audits zu steigern:
- Organisationen sollten ein dynamisches und gut dokumentiertes Inventar ihrer KI-Systeme führen. Hierbei sollten sie klar definieren, inwieweit die Systeme in den Geltungsbereich des EU-KI-Gesetzes fallen.
- KI-Governance muss über die technischen Teams hinausgehen. Unternehmen sollten funktionsübergreifende Governance-Strukturen formalisieren. Damit stellen sie sicher, dass KI-bezogene Entscheidungen mit einem ganzheitlichen Verständnis der Risiken, Verantwortlichkeiten und regulatorischen Auswirkungen getroffen werden.
- Um Audits zu optimieren, sollten Unternehmen standardisierte Vorlagen einsetzen und zentrale Archive zur Dokumentation von Nachweisen einrichten. Die Nachweise sollten an den Bestimmungen der ISO/IEC 42001 ausgerichtet sein, um eine effiziente Überprüfung zu ermöglichen.
- Unternehmen sollten mit Rechtsexperten zusammenarbeiten, um Missverständnisse bei der Auslegung der EU-KI-Verordnung zu vermeiden.
- Organisationen sollten Mechanismen etablieren, um aus Audits, Vorfällen und Leistungsbeurteilungen zu lernen und ihr KI-Managementsystem so kontinuierlich verbessern.
- Prüfer*innen müssen ein gutes KI-Verständnis entwickeln und sich über die Entwicklung von Technologien, regulatorischen Auslegungen und ethischen Grundsätzen auf dem Laufenden halten. Regelmäßige Schulungen und Peer-Reviews erhöhen die Prüfungsqualität.
Fazit: Ein Standard für das Zeitalter der künstlichen Intelligenz
Die EU hat mit ihrem AI Act einen neuen Rahmen für den Einsatz von KI-Systemen geschaffen. Mit der ISO/IEC 42001 setzen die Unternehmen die Vorgaben um und schaffen eine KI-Governance, die technische, ethische und organisatorische Dimensionen integriert. Dabei zeigen die ersten Audit-Erfahrungen, dass die neue Norm auch Fallstricke bereithält – Unternehmen, die die richtigen Lehren daraus ziehen, dürften schon bald „audit-ready“ sein. Die ISO/IEC 42001 ist aber mehr als nur eine Checkliste für regulatorische Compliance – sie ist ein strategisches Instrument zur Schaffung von Vertrauen, Verantwortlichkeit und Resilienz im Zeitalter der künstlichen Intelligenz.
Für weitere Themen rund um die Wirtschaftsprüfung und Forvis Mazars folgen Sie uns auch auf LinkedIn.
Blockchain in der Wirtschaftsprüfung – Chance oder Risiko?
Immer mehr Unternehmen erproben den Einsatz der Blockchain in ihren Prozessen – auch Wirtschaftsprüfungsgesellschaften. Die Technologie verspricht mehr Transparenz und Effizienz, birgt jedoch auch Risiken. Zudem erfordert sie neue Kompetenzen bei den Prüfer*innen. Vereinfacht gesagt, handelt es sich bei der Blockchain um eine Art digitales Notizbuch. Einträge in das Notizbuch sind nur in chronologischer Reihenfolge […]
Weiterlesen
Fake News: Herausforderung für Wirtschaft und Prüfungspraxis
Sie manipulieren Börsenkurse und bedrohen die Reputation integrer Unternehmen – Fake News sind in der Wirtschaft kaum mehr wegzudenken. Längst beeinflussen sie sogar Finanzberichte und Abschlussprüfungen. Kann man den Geist zurück in die Flasche bringen? Zumindest das Risiko ließe sich eindämmen – mit dem Know-how der Wirtschaftsprüfer*innen. Falschmeldungen waren schon immer in der Lage, die […]
Weiterlesen
ERP-Systeme: Chancen und Risiken für die Abschlussprüfung
Die Einführung eines ERP-Systems (ERP: Enterprise Resource Planning) kann Abschlussprüfungen langfristig effizienter machen. Kurzfristig bringt es für Prüfer*innen aber oftmals Herausforderungen mit sich. Hilfreich ist ein Change Management, das prüferische Themen frühzeitig adressiert und Expert*innen in den Transformationsprozess einbindet. Ein ERP-System ist eine Softwarelösung, die zentrale Geschäftsprozesse wie Buchhaltung, Personalwesen, Logistik, Produktion und Vertrieb integriert und automatisiert. Es […]
Weiterlesen
Digitale Identitäten: Ein Blick auf die nordischen Pioniere
Die nordischen Länder sind Vorreiter bei der Nutzung elektronischer Identitäten (eIDs). Was ist der Grund für die hohe Akzeptanz der digitalen Authentifizierung in Norwegen, Schweden und Dänemark? Und was können Deutschland und europäische Wirtschaftsprüfer*innen von den Erfahrungen der digitalen Pioniere lernen? Im Jahr 2010 hat Deutschland den elektronischen Personalausweis (ePA) eingeführt. Mittlerweile sind hierzulande 70 Millionen […]
Weiterlesen
Krypto in der Wirtschaft: Wie bilanziert man Bitcoin?
Der Wahlsieg Donald Trumps hat den Bitcoin auf ein neues Allzeithoch steigen lassen. Nicht nur in der Politik, auch in der Wirtschaft dürfte die Digitalwährung daher an Bedeutung gewinnen. Doch wie bilanziert man Bitcoin? Und welche zusätzlichen Berichtspflichten ergeben sich für die Unternehmen? Auf rund 108.000 Dollar stieg der Bitcoin nach der Wahl Donald Trumps. […]
Weiterlesen
KI-Verordnung der EU: Warum Unternehmen jetzt handeln sollten
Die KI-Verordnung beinhaltet Chancen und Risiken für die Unternehmen. Ihre Umsetzung schafft Vertrauen in KI-Systeme und sorgt für ein gutes Unternehmensimage. Doch Regelverletzungen werden mit hohen Bußgeldern sanktioniert. Die neue ISO-Norm 42001 kann durch Strukturvorgaben bei der Umsetzung der Verordnung helfen. Am 1. August 2024 ist die europäische Verordnung über künstliche Intelligenz (KI-Verordnung) in Kraft getreten. Für Unternehmen, […]
Weiterlesen
Für mehr Transparenz und Effizienz: GRC-Tools als Game Changer
In einer zunehmend komplexer werdenden Geschäftswelt ist Transparenz über die unternehmensindividuellen Risiken essenziell. Doch wie können Unternehmen ihre Kontrollfunktionen für Governance, Risiko und Compliance (GRC) verbessern sowie eine effiziente Steuerung und Überwachung sicherstellen? Eine Antwort können übergreifende Tool-Lösungen sein. Die Anforderungen an eine effektive und effiziente Ausgestaltung von Governance, Risikomanagement und Compliance steigen stetig. Unternehmen […]
Weiterlesen
Metaverse: Wie bilanziert man virtuelle Welten?
Immer mehr Unternehmen eröffnen ihre Filialen auch im Metaverse und bieten dort Services an, erwerben virtuelles Land oder verkaufen digitale Güter. Wirtschaftsprüfer*innen stellen die Aktivitäten der Mandanten in den künstlichen Welten oft vor Herausforderungen. Denn auch immaterielle Werte sind zu bilanzieren – und das nicht nur im Metaverse. Spätestens seit Marc Zuckerberg 2021 sein Unternehmen […]
Weiterlesen
E-Learnings bei Banken: Regulatorische Fehler ade?
Banken gehören zu den am stärksten regulierten Branchen. Kann der Einsatz von E-Learnings die Fehleranfälligkeit bei der Umsetzung regulatorischer Anforderungen bei Instituten minimieren?
Weiterlesen
Macht Künstliche Intelligenz Wirtschaftsprüfer*innen überflüssig?
Wird Künstliche Intelligenz in Zukunft den Job der Wirtschaftsprüfer*innen übernehmen? Vier Einschränkungen der KI sprechen eher gegen die These. Eine Ergänzung der Prüfungsarbeit durch KI erscheint gleichwohl sinnvoll.
Weiterlesen
Kommentare