GRASP German GRC
Kostenlos testen Kontakt

KI in der Revision: 5 Bedenken entkräftet

Veröffentlicht am: 25. November 2025

Max Mustermann

Veröffentlicht am: 25.11.2025

KI in der Revision

KI in der Revision. Ein schwieriges Thema. In Gesprächen mit Kundinnen, Kunden und Interessenten in der Beratung zeigt sich ein klares Bild: Der Wille, künstliche Intelligenz in der Internen Revision einzusetzen, ist da, die Umsetzung bleibt jedoch oft zögerlich. Die Bedenken und Sorgen sind groß. Im Folgenden werden wir zu den fünf größten Bedenken Lösungen anbieten.

Immer wieder hören wir Sätze wie:

  • „Wir würden ja gern KI nutzen, aber uns fehlen Know-how und Zeit.“
  • „Wie stellen wir sicher, dass KI datenschutzkonform ist?“
  • „Gibt es überhaupt praxistaugliche Lösungen speziell für die Revision?“

Aus diesen Gesprächen ergeben sich konsistente Muster.

Rund 36 Prozent der Revisionsverantwortlichen nennen fehlendes Know-how und begrenzte Ressourcen als größtes Hindernis. Etwa 19 Prozent haben den Eindruck, dass es keine passenden KI-Lösungen für die Revision gibt. Knapp 14 Prozent äußern deutliche Sorgen rund um Datenschutz und IT-Sicherheit. Rund 7 Prozent berichten von fehlendem Buy-in des Managements. Etwas mehr als 6 Prozent empfinden regulatorische Unsicherheit als zentrale Hürde.

Die Antworten der Befragten decken sich mit der Forschung. Prof. Dr. Marc Eulerich, Inhaber des Lehrstuhls für Interne Revision an der Universität Duisburg Essen und Leiter des Mercator Audit & Artificial Intelligence Research Center, der schon 2023 über den Einsatz von ChatGPT schrieb und die Entwicklung bei uns im Interview beschreibt:

„Die wohl markanteste Veränderung in diesem Segment ist der Wandel von einer klassischen manuellen Prüf- hin zu einer technologieoffenen Unterstützungsinstanz.“

Vor diesem Hintergrund stellt sich die Frage, wie der Einsatz von KI in der Revision konkret aussehen kann.

Wie zeichnen sich die aktuellen Herausforderungen in der Praxis ab?

Die beschriebenen Zahlen stehen für sehr konkrete Alltagssituationen in Revisionsabteilungen. Typisch sind zum Beispiel:

  • Teams mit zwei bis fünf Personen, die gleichzeitig Prüfungsplanung, Durchführung, Berichterstattung und Follow-up stemmen müssen.
  • Diskussionen mit Datenschutz und IT darüber, ob und wie sensible Informationen in KI-Systeme eingebracht werden dürfen.
  • Unsicherheit in Richtung Management, welche Argumente die Investition in KI rechtfertigen.
  • Unklare Erwartungshaltungen, ob KI eher als „magische Automatisierung“ oder als pragmatischer Assistent verstanden werden soll.

Der Kern dieser Herausforderungen ist selten die Technologie selbst. Viel häufiger geht es um Rollenverständnis, Verantwortlichkeiten, Governance und Kommunikation.

KI in der Revision

Lesen Sie hier das Interview mit Prof. Dr. Eulerich, Inhaber des Lehrstuhls für Interne Revision an der Uni Duisburg Essen zum Thema: Die Zukunft der Internen Revision: KI, Risiko und strategische Partnerschaft.

Ersetzt KI Auditorinnen und Auditoren oder entlastet sie?

Eine der meistgenannten Sorgen lautet: „Uns fehlt die Expertise, um KI wirklich zu beherrschen.“ Dahinter steht oft die unausgesprochene Angst, dass KI Prüfprozesse eigenständig steuert oder Entscheidungen übernimmt.

Tatsächlich ist die Realität eine andere. In einem verantwortungsvollen Setup ist KI ein Assistenzsystem. Es unterstützt bei:

  • Recherche und Auswertung von Dokumenten
  • Identifikation auffälliger Muster in Daten
  • Strukturierung von Arbeitspapieren und Berichten
  • Vorbereitung von Risikodiskussionen

Die fachliche Bewertung, die Einordnung von Risiken und die finale Prüfungsmeinung bleiben bei der Revision. Prof. Eulerich bringt es so auf den Punkt:

„Die Zukunft liegt im Hybrid Ansatz. KI unterstützt, der Mensch entscheidet.“

Damit wird deutlich: KI in der Revision verändert die Arbeit, entzieht den Auditorinnen und Auditoren aber nicht die Kontrolle, sondern verschafft ihnen mehr Zeit für risikoorientierte und wertschöpfende Aufgaben.

Wie lässt sich Datenschutz und IT-Sicherheit bei KI in der Revision sicherstellen?

Datenschutz und IT-Sicherheit gehören zu den häufigsten Einwänden. Die Sorge: „Wenn wir Daten in ein KI-System geben, verlieren wir die Kontrolle darüber.“

Moderne KI-Plattformen bieten heute jedoch zahlreiche Möglichkeiten, dieses Risiko beherrschbar zu machen. Dazu zählen zum Beispiel:

  • Modelle mit Zero Data Retention, bei denen Eingaben nicht dauerhaft gespeichert werden
  • Verarbeitung in europäischen Rechenzentren mit DSGVO-konformem Betrieb
  • Verschlüsselung der Daten bei Übertragung und Speicherung
  • detaillierte Audit Trails, die nachvollziehbar machen, wer welche Abfrage gestellt hat
  • Rollen- und Rechtekonzepte, die den Zugriff fein granular steuern
  • Integrationsmöglichkeiten in bestehende Sicherheitsarchitekturen des Unternehmens

Datenschutz wird damit weniger zu einer Frage der Technologie als vielmehr zu einer Frage der Governance. Wenn Revisionsabteilungen gemeinsam mit Datenschutz und Informationssicherheit klare Spielregeln definieren, kann KI revisionssicher eingesetzt werden.

Datenschutz und KI in der Revision: Struktur statt Firefighting

Gerade beim Einsatz von KI in der Revision zeigt sich, was Datenschutzexperte Andreas Rübsam in vielen Projekten beobachtet: „Viele betrachten Datenschutz nicht als integralen Teil des Projekts, sondern als Hürde, die man irgendwie überspringen muss.“ Für KI ist diese Haltung besonders riskant: Hier treffen sensible Daten, neue Technologien und hohe Erwartungen aufeinander.

Rübsam schildert häufig Organisationen, die Datenschutz „formal umsetzen, aber nicht leben“. Übertragen auf KI bedeutet das: Eine KI-Policy oder ein Eintrag im Verzeichnis der Verarbeitungstätigkeiten reicht nicht aus. Entscheidend sind klare Antworten auf Fragen wie:

  • Welche Datenkategorien dürfen in welche KI-Systeme einfließen?
  • Wer gibt die Nutzung frei und wer überwacht sie laufend?
  • Wie werden Modelle technisch und fachlich validiert?
  • Wie werden Mitarbeitende geschult, damit sie KI verantwortungsvoll nutzen?

Die Lösung liegt – ganz im Sinne von Rübsam – in einem Datenschutzmanagementsystem, das nicht nur Dokumente verwaltet, sondern Maßnahmen, Fristen und Zuständigkeiten steuert. Übertragen auf KI heißt das: Statt einzelne Tools isoliert freizugeben, braucht es ein System, das die sichere Nutzung von KI ganzheitlich regelt.

Rübsam bringt das Spannungsfeld mit einem Bild auf den Punkt: „Alle lieben den Feuerwehrmann, aber keiner den Brandschutzbeauftragten.“ Übertragen auf KI-Initiativen heißt das: Die spektakulären Leuchtturmprojekte bekommen Aufmerksamkeit, die unsichtbare Vorarbeit in Datenschutz und Governance dagegen selten. Wer beides verbindet, reduziert genau die Feuerwehreinsätze, die später Zeit, Nerven und Vertrauen kosten – und macht KI gleichzeitig revisionssicher und nachhaltig nutzbar.

Interview mit Andreas Rübsam

Lesen Sie hier das Interview mit Datenschutzexperte Andreas Rübsam. Rübsam bringt mehr als zehn Jahre Praxiserfahrung als interner und externer Datenschutz- und ISB mit.

Wie kann Governance regulatorische Unsicherheit reduzieren?

Ein weiterer häufiger Punkt lautet: „Wir wissen nicht, ob wir regulatorisch auf der sicheren Seite sind, wenn wir KI einsetzen.“

Regulatoren erwarten vor allem Transparenz, Nachvollziehbarkeit und klare Zuständigkeiten. Gerade hier kann eine saubere AI Governance helfen, Unsicherheit in Struktur zu verwandeln. Ein solches Rahmenwerk umfasst typischerweise:

  • Verantwortlichkeiten für Auswahl, Betrieb und Überwachung von KI-Systemen
  • definierte Kriterien für Fairness, Bias-Tests und Modellvalidierung
  • dokumentierte Richtlinien für zulässige und unzulässige Anwendungsfälle von KI in der Revision
  • Prozesse zur regelmäßigen Überprüfung von Modellen und Ergebnissen
  • klare Regeln zur Dokumentation der Nutzung, damit Prüfungen jederzeit nachvollziehbar bleiben

Statt regulatorische Vorgaben als Bremse zu sehen, können Revisionsabteilungen diese Anforderungen als Chance nutzen, KI von Beginn an verantwortungsvoll zu verankern.

Gibt es tatsächlich geeignete KI-Lösungen für die Revision?

In vielen Gesprächen hören wir die Aussage: „Die Tools sind noch nicht reif genug für unsere Praxis.“ Die Realität ist differenzierter.

Es existieren inzwischen zahlreiche Einsatzfelder, die bereits heute stabil funktionieren, etwa:

  • automatisierte Analyse und Zusammenfassung von Richtlinien, Verträgen und Prozessdokumentationen
  • Unterstützung bei der Erstellung von Prüfungsprogrammen und risikoorientierten Fragestellungen
  • KI-gestützte Voranalyse von Buchungsdaten, etwa zur Anomalieerkennung
  • Unterstützung bei der Vorbereitung von Interviews und Workshops
  • Strukturierung und Verdichtung von Feststellungen, Maßnahmen und Management Statements

Prof. Eulerich verweist in diesem Zusammenhang auf das Potenzial datengetriebener Ansätze:

„Datenanalytik, Process Mining und KI verändern die Prüfungsansätze. Besonders prägnant ist der Trend zur kontinuierlichen Überwachung.“

Der Schlüssel liegt weniger in der Frage, ob es Lösungen gibt, sondern darin, welche Use Cases für die eigene Organisation sinnvoll sind und wie man strukturiert priorisiert.

Welche Best Practices machen KI in der Revision verantwortungsvoll nutzbar?

Damit KI in der Revision vertrauenswürdig und auditierbar ist, haben sich einige Grundsätze bewährt, die sich auch in aktuellen Studien und Best-Practice-Empfehlungen wiederfinden.

Dazu gehören insbesondere:

  • Human Oversight: Jede KI-gestützte Auswertung bleibt eine Empfehlung, die durch Menschen geprüft und freigegeben wird.
  • Explainability und Transparenz: Es wird dokumentiert, wie KI-Modelle eingesetzt werden und welche Rolle sie im Prüfungsprozess spielen. Entscheidungen müssen für Dritte nachvollziehbar bleiben.
  • Kontinuierliche Validierung: Modelle werden regelmäßig inhaltlich und technisch überprüft, um Fehlentwicklungen und Verzerrungen frühzeitig zu erkennen.
  • Security und Compliance Controls: KI-Systeme verfügen über Protokollierung, Rechtekonzepte und technische Sicherheitsmechanismen, die Anforderungen von Revision, Datenschutz und Informationssicherheit erfüllen.
  • Messbare Erfolgskennzahlen: Bereits zu Beginn wird definiert, welche Ziele mit KI verfolgt werden, etwa Zeitersparnis, Umfang der analysierten Daten oder Qualität der Risikobewertung.

Diese Prinzipien helfen dabei, aus abstrakten Diskussionen konkrete, umsetzbare Vorgehensweisen zu machen.

Wie können kleine Teams konkret von KI in der Revision profitieren?

Gerade kleinere Revisionsteams mit knappen Ressourcen profitieren stark von KI-Unterstützung. Typische Einstiegsszenarien sind zum Beispiel:

  • Nutzung eines KI-Assistenten für die Auswertung umfangreicher Dokumentensammlungen, etwa bei Richtlinien oder Vertragsprüfungen
  • Unterstützung bei der Strukturierung von Prüfungsberichten, zum Beispiel beim Formulieren von Management Summaries
  • Einsatz von KI zur Priorisierung von Risiken auf Basis vorhandener Datenquellen
  • Vorbereitung von Workshops mit Fachbereichen durch strukturierte Fragen und Hypothesen

Prof. Eulerich beschreibt die gewünschte Entwicklung der Rolle der Revision so:

„Revision nicht als Polizeifunktion, sondern als strategischen Enabler. Mit KI integriert, interdisziplinären Teams und einer proaktiven Rolle im Unternehmen.“

Damit rückt KI nicht als Selbstzweck, sondern als Werkzeug in den Vordergrund, das Revisionsabteilungen dabei unterstützt, ihre Rolle als Sparringspartner des Managements auszubauen und echte Wertschöpfung zu leisten.

Wie gewinnen Revisionsabteilungen das Management für KI?

Hinter vielen Aussagen wie „Wir würden ja gern, aber …“ steckt die Frage: Steht das Management wirklich dahinter? Gerade dieser Punkt entscheidet, ob KI-Projekte über den Pilotstatus hinauskommen.

Der Schlüssel ist, KI nicht als Technik-, sondern als Strategie-Thema zu positionieren:

  • Ausgangspunkt sind konkrete Probleme der Revision (Zeitdruck, Datenflut, Dokumentenarbeit), nicht „KI um der KI willen“.
  • Daraus werden klare Ziele abgeleitet, etwa: mehr Datenabdeckung, weniger Routineaufwand, besser strukturierte Berichte.

Management-Buy-in entsteht in der Abstimmung mit Stakeholdern: Revision, IT, Datenschutz, Informationssicherheit und Fachbereiche definieren gemeinsam wenige, klar abgegrenzte Use Cases. Führungskräfte in der Revision übersetzen diese in eine verständliche Story: KI unterstützt bei Analyse, Strukturierung und Vorbereitung – die fachliche Bewertung bleibt beim Menschen.

Entscheidend sind sichtbare Ergebnisse: messbare Zeitgewinne, zusätzliche Auffälligkeiten in Datenanalysen, schneller verfügbare Management Summaries. So erlebt das Management KI nicht als Zukunftsversprechen, sondern als konkret wirksames Werkzeug.

Damit verbindet sich Buy-in direkt mit drei Praxisfeldern:

  • Staffing: bessere Transparenz zu Auslastung und Skills, passenderes Matching von Personen und Prüfungen.
  • Innovation: erlebbare Verbesserungen statt abstrakter „Digitalstrategie“.
  • Skill-Management: Erkenntnis, welche Kompetenzen fehlen, und gezielte Entwicklung der Revision in Richtung daten- und technologiekompetenter Sparringspartner.

So wird aus „Wir würden ja gern“ ein „Wir setzen KI bewusst ein und wissen, warum“.

Jetzt GRASP 30 Tage kostenlos testen!

Text auf Button: Get Started Free Trial starten

Weitere Beiträge zum Thema

GRASP ist ein Produkt der DextraData GmbH

Siegel Software Made and Hosted in Germany
Siegel Allianz für Cyber-Sicherheit Siegel Bundesverband IT-Mittelstand Siegel Lizensierte IT-Grundschutz-Inhalte Siegel ISO 27001 Zertifizierung

Produkte

ISMS - Software für Informationssicherheit

DSMS - Software für Datenschutzmanagement

Internal Audit - Sofware für Auditmanagement

QM - Software für Qualitätsmanagement

BCM - Software für Business Continuity Management

Neues bei GRASP

Unternehmen

Über uns

Fragen zu GRASP

Sie haben noch Fragen?
Kontaktieren Sie uns gerne!

Zum Kontaktformular

© DextraData GmbH

Impressum

AGB

Datenschutzerklärung

Cookie-Einstellungen