Warum die Interne Revision jetzt einen KI-Leitfaden braucht

KI hält Einzug in die tägliche Prüfungsarbeit – oft leise, aber mit spürbarer Wirkung.

Revisorinnen und Revisoren nutzen heute bereits Tools wie ChatGPT, Microsoft Copilot, Perplexity oder SAP-Analysefunktionen. Sie strukturieren Berichte, verdichten Informationen oder können damit Anomalien in großen Datenmengen schneller erkennen. Auch bei Recherchen, Formulierungen oder bei der Aufbereitung von Prüfungsergebnissen hilft KI längst mit.

Was Prozesse beschleunigt, verändert aber zugleich die Verantwortung. Damit stellt sich die Frage: Wie sichern wir Qualität, Datenschutz und Nachvollziehbarkeit, wenn KI beim Prüfen mitwirkt?

Ein klarer Ordnungsrahmen ist dabei ein entscheidender Faktor. Dieser KI-Leitfaden für Revisoren zeigt, wie sie den Einsatz von KI prüfen, bewerten und sicher gestalten können – mit Leitplanken, Checkliste und Quick-Scan in 30 Minuten.
 

Übrigens: Wer den Leitfaden in der Praxis vertiefen möchte, findet bei Haub + Partner passende Seminare – vom Crashkurs KI für Revisoren über ChatGPT & Co. – KI in der Internen Revision bis hin zum zweitägigen Prüffeld Künstliche Intelligenz.

Sie alle zeigen, wie sich KI sicher, nachvollziehbar und prüfbar einsetzen lässt – in der eigenen Revision, aber auch im Auditprozess selbst.

KI ist längst im Berufsalltag angekommen – auch wenn nicht überall darüber gesprochen wird. Viele Teams arbeiten bereits mit KI-gestützten Tools, sei es beim Schreiben, Recherchieren oder Auswerten von Daten. Oft geschieht das unbewusst oder „unter dem Radar“.

Gleichzeitig rücken neue rechtliche Anforderungen näher. Mit dem EU AI Act werden ab 2025 stufenweise Pflichten für Unternehmen und öffentliche Institutionen wirksam, die KI-Systeme einsetzen oder KI-Modelle integrieren. Wer sich frühzeitig organisiert, schafft nicht nur Rechtssicherheit, sondern auch Vertrauen – intern wie extern.

Vertrauen ist die Währung der Revision. Die Interne Revision steht für Transparenz und Nachvollziehbarkeit. Wenn KI Teil ihrer Arbeit wird, muss sie dieselben Standards auch für sich selbst anwenden. Ein klarer Leitfaden schafft hier Orientierung und verhindert, dass Risiken erst dann auffallen, wenn sie bereits eingetreten sind.

Der 30-Minuten-KI-Check ist ein kompaktes Instrument, um den Umgang mit KI in der Organisation sichtbar und überprüfbar zu machen.
Er lässt sich sowohl als Selbstprüfung einzelner Bereiche als auch als Auditansatz der Internen Revision einsetzen.

Er beantwortet vier zentrale Fragen:

1. Sichtbarkeit schaffen – was wird genutzt, wofür und von wem?

Der erste Schritt ist Transparenz. Nur wenn bekannt ist, welche KI-Systeme tatsächlich im Einsatz sind, kann über Risiken und Chancen fundiert entschieden werden.

Die Interne Revision sollte gemeinsam mit den Fachbereichen ein einfaches Inventar anlegen:

• Welche Tools werden genutzt (z. B. ChatGPT, Copilot, Übersetzer, interne Assistenten)?
• Wofür genau werden sie eingesetzt – etwa zur Texterstellung, Ideenfindung oder Datenauswertung?
• Welche Daten fließen ein – auch vertrauliche, personenbezogene oder Kundendaten?
• Wer hat das Tool freigegeben – oder handelt es sich um Schatten-IT?

Ein solches Verzeichnis schafft Überblick und ist der erste Sicherheitsgewinn, weil es Diskussionen auf eine klare Faktenbasis stellt.

2. Leitplanken festlegen – was ist erlaubt, was tabu?

Sind die genutzten Tools bekannt, braucht es Regeln für den Alltag. Diese Leitplanken schützen Daten, sichern Qualität und schaffen Verantwortlichkeit.

Wichtige Grundprinzipien:

• Datenschutz: Keine sensiblen oder vertraulichen Informationen in öffentliche KI-Systeme eingeben.
• Transparenz: KI-Ergebnisse sind Entwürfe – sie müssen geprüft und gegengelesen werden.
• Quellenpflicht: Inhalte, die durch KI recherchiert oder zusammengefasst werden, sind zu kennzeichnen und zu verifizieren. Das ist wichtig, weil KI nicht immer zwischen geprüften Fakten und bloßen Annahmen unterscheidet. Wer Quellen prüft und klar benennt, stellt sicher, dass Entscheidungen auf belastbaren Informationen beruhen – nicht auf Zufallstreffern.
• Freigabeprozesse: Wer darf KI-generierte Inhalte weiterverwenden, veröffentlichen oder verschicken?

Schon diese wenigen, aber klaren Regeln verhindern die meisten Fehler – und geben der Revision einen klaren Maßstab für spätere Prüfungen.

3. Qualität sichern – wie prüfen wir die Ergebnisse?

Die Qualitätssicherung entscheidet, ob KI im Unternehmen Vertrauen gewinnt oder Misstrauen erzeugt.
Ein einfaches Vier-Augen-Prinzip light – eine Person erstellt, eine zweite prüft – reicht oft schon, um grobe Fehler zu vermeiden.

Zur inhaltlichen Prüfung helfen wenige gezielte Fragen:

• Ist das Ergebnis vollständig und sachlich korrekt?
• Lassen sich Quellen und Annahmen nachvollziehen?
• Entspricht der Text oder die Analyse den internen Standards?

Revisorinnen und Revisoren können zusätzlich die Fehlerquote oder Überarbeitungsaufwände erfassen. Steigen diese an, ist das ein Signal, dass Prompts, Richtlinien oder Trainings angepasst werden sollten. Ebenso hilfreich ist es, nachvollziehbar festzuhalten, wer Inhalte erstellt oder überarbeitet hat. Eine einfache Änderungsübersicht – etwa in Dokumenten oder Tickets – sorgt dafür, dass spätere Prüfungen schnell erkennen, wie ein Ergebnis zustande kam.

4. Verantwortung dokumentieren – wer hält den Überblick?

Eine gute Struktur verhindert, dass KI-Nutzung zur Grauzone wird.
Jeder Bereich sollte daher eine KI-Kontaktperson benennen – als erste Anlaufstelle für Fragen, Vorfälle und Verbesserungsvorschläge.

Ergänzend hilft eine Mini-Policy (eine Seite reicht), die die wichtigsten Regeln und Rollen zusammenfasst.
Ein einfaches Logbuch dokumentiert, welche Tools im Einsatz sind, welche Daten genutzt werden und welche Anwendungsfälle erlaubt oder tabu sind.
Schließlich sollten alle Mitarbeitenden, die mit KI arbeiten, ein kurzes Onboarding und ein jährliches Update erhalten. So bleibt das Wissen aktuell und Verantwortlichkeiten klar verteilt.

Revisorinnen und Revisoren können die Umsetzung der KI-Leitlinien selbst prüfen – pragmatisch und risikoorientiert.
Dazu hat sich ein Prüfpfad in sieben Schritten bewährt:

1. Kick-off und Zielbild: Gemeinsames Verständnis schaffen: „Wir wollen sichere, effiziente KI-Nutzung – keine Verhinderungs-Show.“
2. Inventar prüfen: Stimmen die Angaben der Fachbereiche? Ein Abgleich mit IT-Logs oder Einkauf reicht für den Anfang.
3. Daten & Vertraulichkeit: Gibt es klare rote Linien – und werden sie technisch oder organisatorisch eingehalten?
4. Qualitätssicherung: Werden Prompts, Quellen und Reviews dokumentiert und nachvollziehbar geprüft?
5. Anbieter & Updates: Sind Verträge, Nutzungsbedingungen und Update-Prozesse bekannt und freigegeben?
6. Dokumentation & Schulung: Existieren Mini-Policy, Schulungsunterlagen und Meldewege für Vorfälle?
7. Verbesserungsschleife: Werden Ergebnisse regelmäßig überprüft – z. B. anhand von Fehlerquote, Zeitersparnis oder Lessons Learned?

So entsteht Schritt für Schritt ein belastbarer Rahmen, der zeigt: KI ist kein Risiko, wenn sie gut organisiert ist.

KI im Alltag – aber sicher
Wir nutzen KI, um schneller und besser zu arbeiten – sicher und transparent.
Sensible Daten bleiben geschützt; KI-Ergebnisse sind Entwürfe und müssen gegengelesen werden.
Jede Einheit benennt eine KI-Kontaktperson, die Nutzung wird dokumentiert, neue Mitarbeitende werden geschult.

So stellen wir sicher, dass KI unseren Qualitätsanspruch stärkt – nicht gefährdet.

Einige typische Aussagen begegnen der Internen Revision immer wieder:

• „Wir nutzen gar keine KI.“
  Meist ein Trugschluss. Viele Tools – von Office bis Übersetzer – enthalten bereits KI-Funktionen. Ein Realitätscheck lohnt sich.

• „KI spart Zeit, also passt das.“
  Zeitersparnis ist kein Qualitätskriterium. Ein kurzer Review bleibt unverzichtbar.

• „Wir warten, bis der AI Act gilt.“
  Basisregeln zu Datenschutz, Nachvollziehbarkeit und Doku gelten schon heute.

• „Welche Tools sind erlaubt?“
  Eine Positivliste geprüfter Tools und eine Tabuliste sensibler Daten schaffen Klarheit – ganz ohne Bürokratie.

1. Führen Sie den 30-Minuten-KI-Check in ein bis zwei Pilotbereichen durch.
2. Verabschieden Sie eine Mini-Policy – kurz, verständlich, auf den Punkt.
3. Definieren Sie eine Positivliste mit geprüften Tools.
4. Führen Sie eine kurze Schulung durch – 30 Minuten genügen.
5. Etablieren Sie einen Quartals-Review, um Erfahrungen und Verbesserungen festzuhalten.

Damit entsteht ein klarer Rahmen, der KI-Nutzung ermöglicht, ohne Risiken zu übersehen – strukturiert, nachvollziehbar und praxisnah.

KI lohnt sich –wenn sie kontrolliert wird.
Mit einer klaren Übersicht, definierten Leitplanken, einfacher Qualitätssicherung und transparenter Dokumentation kann die Interne Revision den Nutzen heben und Risiken minimieren.
Sie wird damit zum Katalysator für verantwortungsvolle Digitalisierung – zwischen Fachbereichen, IT und Geschäftsleitung.

Oder anders ausgedrückt: KI braucht keine blinde Zustimmung, sondern klare Kontrolle.

1. Warum braucht die Interne Revision überhaupt einen KI-Leitfaden?

Die Interne Revision braucht einen KI-Leitfaden, weil KI längst Teil der täglichen Arbeit ist – von Textentwürfen über Recherchen bis hin zu Datenanalysen.
Ein Leitfaden schafft klare Regeln für Sicherheit, Qualität und Verantwortlichkeit und sorgt dafür, dass die Nutzung von KI nachvollziehbar bleibt.

2. Was unterscheidet den 30-Minuten-KI-Check von einer klassischen Richtlinie?

Der 30-Minuten-KI-Check unterscheidet sich durch seinen pragmatischen Aufbau. Er besteht aus vier klaren Schritten, die ohne großen Aufwand Transparenz schaffen.
Er ersetzt keine Richtlinie, bildet aber eine leicht anwendbare Grundlage, um Verantwortlichkeiten und Regeln später formal festzuhalten.

3. Für welche Tools gilt der KI-Leitfaden für die Interne Revsion konkret?

Der KI-Leitfaden für die Interne Revision gilt für alle Anwendungen mit KI-Funktionen – zum Beispiel ChatGPT, Microsoft Copilot, Perplexity oder KI-gestützte Analysefunktionen in SAP und Office-Programmen. Wichtig ist nicht der Name des Tools, sondern der Umgang damit: Wie werden Daten eingegeben, geprüft und dokumentiert?

4. Wie oft sollte die Interne Revision den KI-Einsatz im Unternehmen prüfen?

Die Interne Revision sollte den KI-Einsatz mindestens einmal pro Quartal überprüfen. Ein Quartals-Review ermöglicht, Erfahrungen, Fehlerquoten und neue Tools regelmäßig zu bewerten – und die KI-Policy bei Bedarf anzupassen oder zu erweitern.

5. Ist die Nutzung von KI-Tools in der Interne Revision überhaupt erlaubt?

Ja, die Nutzung von KI-Tools in der Internen Revision ist erlaubt – unter bestimmten Bedingungen. Datenschutz, Vertraulichkeit und interne Freigaben müssen eingehalten werden.
Der Leitfaden zeigt, wie diese Anforderungen praktisch umgesetzt und dokumentiert werden können.

6. Wie lässt sich die Qualität von KI-Ergebnissen prüfen?

Die Qualität von KI-Ergebnissen lässt sich durch ein kurzes Gegenlesen (Vier-Augen-Prinzip) und gezielte Prüffragen sicherstellen: Ist die Aussage vollständig, nachvollziehbar und quellenbelegt?
Eine Änderungsübersicht oder ein kurzer Review-Kommentar helfen, Nachvollziehbarkeit und Prüfbarkeit zu gewährleisten.

7. Was sind typische Risiken beim Einsatz von KI in der Internen Revision?

Zu den typischen Risiken von KI in der Internen Revision zählen fehlerhafte Inhalte, unklare Quellen oder die unbeabsichtigte Preisgabe vertraulicher Daten. Diese Risiken lassen sich minimieren, wenn klare Leitplanken gelten und sensible Daten grundsätzlich getrennt verarbeitet werden.

8. Wie dokumentiert man die Nutzung von KI in der Internen Revision richtig?

Die Nutzung von KI in der Internen Revision sollte mit einem einfachen Logbuch dokumentiert werden: Tool-Name, Zweck, Freigabe und Tabu-Daten genügen als Basis. Ergänzt durch eine einseitige Mini-Policy und ein jährliches Schulungs-Update bleibt die Dokumentation nachvollziehbar und auditfähig.

9. Was kann die Interne Revision prüfen, wenn KI im Unternehmen bereits eingesetzt wird?

Wenn KI im Unternehmen bereits im Einsatz ist, kann die Interne Revision den Status mit dem siebenstufigen Prüf-Pfad bewerten – vom Inventar über Qualitätssicherung bis zu Schulung und Governance. Auch eine kleine Stichprobe genügt, um Transparenz zu schaffen und den Reifegrad zu beurteilen.

10. Wo kann ich lernen, KI in der Internen Revision sicher anzuwenden?

Wer KI in der Internen Revision sicher anwenden möchte, findet in den Seminaren von Haub + Partner praxisnahe Unterstützung: z. B. Crashkurs KI für Revisoren, ChatGPT in der Internen Revision, KI-Assistenten in der Internen Revision und Prüffeld Künstliche Intelligenz. Alle Formate verbinden Fachwissen mit praktischen Übungen und zeigen, wie KI im Revisionsalltag sinnvoll genutzt werden kann.