Seit über 35 Jahren Ihr kompetenter Partner
für Revisionsseminare
Seit über 35 Jahren Ihr kompetenter Partner
für Revisionsseminare
Weiterbildungsangebote, Praxistipps und Expertenmeinungen bequem per E-Mail – für einen leichteren Revisionsalltag!
Der EU AI Act lenkt den Blick der Internen Revision auf Fragen, die im Arbeitsalltag vieler Unternehmen ohnehin präsent sind. Hier ist Künstliche Intelligenz längst Teil der Arbeitsrealität, in bestehenden Anwendungen wird sie einfach mitgeliefert. Software sortiert Bewerbungen vor, bewertet Geschäftspartner oder hilft dabei, Auffälligkeiten in großen Datenmengen zu erkennen. Entscheidungen, die früher vollständig von Menschen getroffen wurden, entstehen heute zunehmend automatisiert oder werden zumindest datenbasiert vorbereitet.
Mit dieser Entwicklung rückt eine Frage stärker in den Vordergrund: Wer trägt Verantwortung, wenn Entscheidungen nicht mehr ausschließlich von Menschen, sondern von Algorithmen beeinflusst werden? Wie nachvollziehbar sind die Wege dorthin – intern, gegenüber Aufsichtsgremien oder im Zweifel auch gegenüber Betroffenen?
Vor diesem Hintergrund hat die Europäische Union mit dem EU AI Act erstmals einen verbindlichen Rahmen für den Einsatz von KI-Systemen geschaffen. Ziel ist es, Risiken zu begrenzen, Grundrechte zu schützen und einen verantwortungsvollen Umgang mit KI sicherzustellen. Statt KI pauschal zu bewerten, ordnet der EU AI Act Anwendungen danach ein, welches Risiko von ihnen ausgeht.
Der AI Act wurde im Frühjahr 2024 formell verabschiedet und wird ab 2026 schrittweise wirksam, wobei einzelne Regelungen – insbesondere für bestimmte Anwendungen – bereits früher greifen.
Für die Interne Revision wird der EU AI Act damit zu einem eigenständigen Prüfungsfeld. Denn er fragt weniger nach Technologie, sondern nach der Steuerung: Wer entscheidet, wer überwacht, und wie bleibt der Einsatz von KI kontrollierbar, wenn sie zunehmend selbstverständlich genutzt wird?
Der EU AI Act ist kein Gesetz, das sich ausschließlich an IT-Abteilungen richtet. Sein Ausgangspunkt ist die Wirkung von KI-Systemen in der Praxis. Entscheidend ist nicht, welche Technologie eingesetzt wird, sondern welche Folgen ihr Einsatz haben kann – für Betroffene, für Geschäftsprozesse und für das Unternehmen insgesamt.
Dabei ist zu berücksichtigen, dass der EU AI Act den Begriff „KI-System“ rechtlich enger fasst, als dies im allgemeinen Sprachgebrauch oft der Fall ist. Der Rechtsrahmen bezieht sich insbesondere auf maschinell lernende Systeme und bestimmte algorithmische Ansätze, nicht auf jede Form von Automatisierung.
Daher verfolgt der EU AI Act einen risikobasierten Ansatz. KI-Systeme werden danach eingestuft, wie kritisch ihr Einsatz ist: von Anwendungen mit minimalem Risiko bis hin zu sogenannten High-Risk-KI-Systemen. Letztere kommen typischerweise dort zum Einsatz, wo Entscheidungen erhebliche Auswirkungen haben können, etwa im Personalbereich, bei der Bewertung von Kreditwürdigkeit oder in sicherheitsrelevanten Kontexten sowie auch bei KI-Systemen in kritischen Infrastrukturen oder im Bildungsbereich.
Für diese risikoreichen Anwendungen formuliert der EU AI Act klare Erwartungen an Unternehmen. Es geht um nachvollziehbare Entscheidungsprozesse, klar definierte Verantwortlichkeiten und um die Fähigkeit, Risiken nicht nur zu identifizieren, sondern auch laufend zu überwachen. Unternehmen sollten wissen, welche KI-Systeme sie einsetzen, wofür sie genutzt werden und auf welchen Annahmen ihre Ergebnisse beruhen.
Für die Interne Revision ist dieser Ansatz deshalb zentral, weil der EU AI Act unmittelbar an Fragen der Unternehmenssteuerung anknüpft: Wie transparent sind die Prozesse? Wie klar sind Zuständigkeiten geregelt? Und wie belastbar sind bestehende Kontrollmechanismen, wenn Entscheidungen zunehmend automatisiert vorbereitet werden? Der regulatorische Rahmen liefert also keine Prüfprogramme, setzt jedoch einen Referenzrahmen. Er soll deutlich machen, wo neue Risiken entstehen können und wo sich daraus Ansatzpunkte für die Interne Revision ergeben.
Der EU AI Act wirkt in die Organisation hinein. Er stellt Anforderungen an den Umgang mit KI, die sich nicht auf einzelne Anwendungen oder Projekte beschränken, sondern den gesamten Lebenszyklus solcher Systeme betreffen – von der Einführung über den laufenden Betrieb bis hin zur Überwachung.
Für die Interne Revision ist das der entscheidende Punkt: KI-Systeme sind in Prozesse eingebettet und beeinflussen Entscheidungen. Wenn etwa ein System Bewerbungen priorisiert oder Geschäftspartner bewertet, stellt sich nicht nur die Frage nach der technischen Funktionsweise, sondern auch nach den Rahmenbedingungen: Wer hat den Einsatz freigegeben? Nach welchen Kriterien wird das System betrieben und überwacht? Und wie wird mit Fehlentscheidungen umgegangen?
Hinzu kommt, dass Verantwortung beim Einsatz von KI leicht zerfasert. Fachbereiche nutzen Anwendungen, die IT jedoch stellt Infrastruktur bereit, darüber hinaus liefern ggf. externe Anbieter Modelle oder Daten. Der EU AI Act verlangt jedoch klare Zuständigkeiten und nachvollziehbare Entscheidungswege. Damit rücken Fragen in den Vordergrund, die für die Interne Revision vertraut sind – nur in neuer Ausprägung.
In diesem Sinne markiert der EU AI Act für die Interne Revision keinen radikalen Bruch, sondern eine Verschiebung des Fokus. Prüfungen werden sich stärker darauf richten müssen, ob Governance- und Kontrollstrukturen mit der Realität automatisierter Entscheidungen Schritt halten und ob Risiken nicht nur beschrieben, sondern im Alltag tatsächlich beherrscht werden.
Mit dem EU AI Act werden Erwartungen an den Umgang mit Künstlicher Intelligenz greifbarer. Gleichzeitig wird deutlicher, wie wenig routiniert viele Organisationen bislang mit diesen Systemen umgehen. Was regulatorisch gefordert ist, trifft in der Praxis auf Strukturen, die für klassische Prozesse gedacht waren – nicht für Systeme, die lernen, sich verändern und Entscheidungen vorbereiten, ohne immer eindeutig erklärbar zu sein.
Ein erstes Spannungsfeld zeigt sich dort, wo es um Nachvollziehbarkeit geht. In der Revision ist man es gewohnt, Entscheidungswege zu verstehen, Annahmen zu hinterfragen und Abweichungen einzuordnen. KI-gestützte Entscheidungen folgen jedoch anderen Logiken. Modelle arbeiten mit Wahrscheinlichkeiten, Trainingsdaten und statistischen Zusammenhängen. Selbst wenn Systeme ordnungsgemäß funktionieren, bleiben Entscheidungswege oft abstrakt. Für die Interne Revision stellt sich damit weniger die Frage, ob geprüft werden soll, sondern wie viel Erklärung unter diesen Bedingungen überhaupt realistisch ist.
Schwieriger wird es dort, wo diese verteilte Verantwortung im Prüfungsalltag greifbar werden soll. Auf dem Papier lassen sich Zuständigkeiten oft noch klar benennen. In der Praxis zeigen sich jedoch Übergänge, Abhängigkeiten und Ausnahmen. Für die Interne Revision entsteht so eine Situation, in der Verantwortung zwar vorhanden ist, sich aber nicht immer eindeutig festmachen lässt. Der EU AI Act löst diese Grauzonen nicht auf – er macht sie lediglich schwerer zu ignorieren.
Diese Gemengelage verschärft sich durch eine weitere, sehr praktische Frage: die nach den verfügbaren Ressourcen. Der EU AI Act erweitert den Prüfungsgegenstand, ohne automatisch Spielräume zu schaffen. Nicht jede Revisionsabteilung verfügt über tiefes technisches oder datenbezogenes Know-how. Gleichzeitig wächst die Erwartung, auch diese Themen einordnen zu können. Hier entsteht ein Spannungsfeld, das sich nicht kurzfristig auflösen lässt.
Der EU AI Act ist für die Interne Revision damit kein Befreiungsschlag. Er bringt Ordnung in die Debatte, aber keine einfachen Antworten. Prüfungen bewegen sich stärker zwischen Anspruch und Machbarkeit und genau diese Spannung wird den Umgang mit KI in den kommenden Jahren prägen.
Viele der Herausforderungen, die der EU AI Act für die Interne Revision mit sich bringt, lassen sich nicht technisch beantworten. Sie betreffen Strukturen, Zuständigkeiten und den Umgang mit Unsicherheit. In der Praxis verdichten sich diese Überlegungen häufig zu einigen grundlegenden Fragen:
Welche KI-Systeme sind im Unternehmen tatsächlich im Einsatz – auch jenseits expliziter KI-Projekte?
Wie sind Verantwortung und Entscheidungsbefugnisse beim Einsatz von KI organisatorisch verortet?
Wie greifen bestehende Governance-, Risiko- und Kontrollstrukturen, wenn Entscheidungen automatisiert vorbereitet werden?
Welche Erwartungen werden an die Interne Revision herangetragen und wo liegen realistische Grenzen der Prüfbarkeit?
Wie lässt sich der Umgang mit KI über mehrere Prüfungszyklen hinweg begleiten, ohne vorschnell abschließende Bewertungen vorzunehmen?
Diese Fragen sind weniger als Checkliste zu verstehen, sondern als Ausdruck eines Suchprozesses. Sie markieren Punkte, an denen Organisationen – und mit ihnen die Interne Revision – Orientierung entwickeln müssen, ohne bereits über belastbare Antworten zu verfügen.
Der EU AI Act verändert den Rahmen, in dem über den Einsatz von Künstlicher Intelligenz gesprochen wird. Auch für die Interne Revision. Er macht Erwartungen sichtbarer und zwingt Organisationen dazu, sich mit Fragen von Verantwortung, Steuerung und Kontrolle auseinanderzusetzen, die bislang oft nur am Rand gestellt wurden.
Für die Interne Revision ist das kein leichter Auftrag. Der EU AI Act nimmt Unsicherheit nicht weg und ersetzt keine fachliche Auseinandersetzung. Er schafft keinen fertigen Prüfungsansatz und entlastet nicht von Zielkonflikten, die im Alltag bestehen bleiben. Vieles bleibt erklärungsbedürftig, manches schlicht nicht vollständig prüfbar.
Gerade darin liegt jedoch die eigentliche Herausforderung – und zugleich der Anspruch an eine reflektierte Interne Revision. Nicht jede Frage muss abschließend beantwortet werden. Entscheidend ist, sie sichtbar zu machen, einzuordnen und über Zeit hinweg zu begleiten. Der EU AI Act ist in diesem Sinne kein Endpunkt, sondern ein Ausgangspunkt für einen professionellen Umgang mit KI, der Unsicherheit nicht ausblendet, sondern ernst nimmt.
1. Was bedeutet der EU AI Act für die Interne Revision?
Der EU AI Act hat direkte Auswirkungen auf die Interne Revision, weil er den Einsatz von KI-Systemen organisatorisch, nicht nur technisch reguliert. Für die Interne Revision entsteht damit ein neues Prüfungsfeld, das Fragen der Governance, Verantwortung und Kontrolle in den Mittelpunkt rückt.
2. Muss die Interne Revision KI-Systeme technisch prüfen?
Nein, der EU AI Act verlangt keine technische Prüfung von KI-Systemen durch die Interne Revision. Im Fokus stehen vielmehr die organisatorischen Rahmenbedingungen: Zuständigkeiten, Transparenz, Risikosteuerung und der Umgang mit automatisierten Entscheidungen.
3. Welche KI-Systeme sind aus Sicht der Internen Revision besonders relevant?
Aus Sicht der Internen Revision sind insbesondere High-Risk-KI-Systeme relevant, also Anwendungen mit potenziell erheblichen Auswirkungen, etwa im Personalwesen oder bei Bewertungen mit rechtlichen oder finanziellen Folgen. Entscheidend ist nicht die Technologie, sondern ihre Wirkung.
4. Benötigen Unternehmen ein KI-Register nach dem EU AI Act?
Der EU AI Act verlangt Transparenz über eingesetzte KI-Systeme. Ob diese Transparenz über ein formales KI-Register oder über bestehende Dokumentationsstrukturen hergestellt wird, ist offen. Für die Interne Revision ist entscheidend, dass Überblick, Zweck und Verantwortlichkeiten nachvollziehbar sind.
5. Wie fügt sich der EU AI Act in bestehende Governance-Strukturen ein?
Der EU AI Act ergänzt bestehende Governance- und Kontrollstrukturen, ersetzt sie aber nicht. Für die Interne Revision stellt sich die Frage, ob vorhandene Regelungen den Einsatz von KI ausreichend abbilden oder ob Anpassungen notwendig sind.
6. Welche Rolle spielt die Interne Revision im Zusammenspiel mit Compliance und IT?
Beim EU AI Act ist die Interne Revision Teil eines funktionalen Zusammenspiels. KI betrifft Compliance, Datenschutz, IT und Fachbereiche gleichermaßen. Prüfungsansätze sind dort wirksam, wo Rollen, Zuständigkeiten und Informationsflüsse klar aufeinander abgestimmt sind.
7. Führt der EU AI Act zu zusätzlichem Prüfungsdruck für die Interne Revision?
Ja, der EU AI Act erhöht die Erwartungen an die Interne Revision, ohne automatisch zusätzliche Ressourcen zu schaffen. Daraus entsteht Prüfungsdruck, der ein klares Priorisieren und einen offenen Umgang mit den Grenzen der Prüfbarkeit erfordert.
8. Macht der EU AI Act Prüfungen für die Interne Revision einfacher?
Nein, der EU AI Act macht Prüfungen nicht einfacher, aber strukturierter. Er schafft Orientierung, ohne die Komplexität von KI-Systemen aufzulösen. Prüfungen bewegen sich weiterhin zwischen regulatorischem Anspruch und organisatorischer Realität.0
9. Wie sollte die Interne Revision mit Unsicherheit beim Einsatz von KI umgehen?
Der EU AI Act nimmt Unsicherheit beim Einsatz von KI nicht vollständig weg. Für die Interne Revision besteht ein professioneller Umgang darin, Grenzen der Prüfbarkeit transparent zu machen, Annahmen offenzulegen und Entwicklungen über mehrere Prüfungszyklen hinweg zu begleiten.
10. Ist der EU AI Act ein dauerhaftes Prüfungsfeld für die Interne Revision?
Ja, der EU AI Act etabliert ein dauerhaftes Prüfungsfeld für die Interne Revision. Der Einsatz von KI wird sich weiterentwickeln, ebenso die regulatorischen Erwartungen. Entsprechend wird auch die Auseinandersetzung der Revision mit KI kein einmaliges Thema bleiben.
Erfahren Sie jetzt, wie Sie Künstliche Intelligenz in der Internen Revision praxisnah und verantwortungsvoll nutzen können.
Ich bin Content Managerin bei der HAUB + PARTNER GmbH und bereits seit vielen Jahren Teamleiterin Grafik. Ich freue mich, Sie mit aktuellen Themen, Trends und Innovationen rund um das Thema Interne Revision zu informieren.
Zum Profil
Kommentare
Keine Kommentare