Interne Revision und der Einsatz von KI: Nützlich. Gefährlich. Unvermeidlich.

Viele Revisionen diskutieren gerade über Tools. Copilot hier, ChatGPT da und On-Prem als Beruhigungspille.

Doch Stopp: das ist die falsche Reihenfolge.

Die entscheidende Frage lautet: Welches Prüfproblem lösen wir – und wie bleiben Ergebnisse prüffähig?

Denn KI ist nicht automatisch gut. Sie ist vor allem eins: wirksam. Und Wirksamkeit verstärkt alles. Gute Methodik wird besser. Schlechte Methodik fliegt schneller auf.

Dieser Artikel ist bewusst kritisch gehalten. Nicht, weil ich gegen KI bin. Sondern damit die Interne Revision ihren Markenkern nicht verspielt:Vertrauen durch Nachvollziehbarkeit.

Der Shift im Prüfmodell: Von Stichprobe und Rückspiegel zu Signalen und Frühwarnung

Stichproben sind nicht falsch. Sie sind nur oft blind für Muster.

Und moderne Risiken in Banken sind selten „ein Vorgang“. Sie sind Prozesslogik: Berechtigungen, Schnittstellen, Ausnahmen, manuelle Übersteuerungen, Provider-Abhängigkeiten.

Hier kann KI helfen – wenn das Prüfmodell sauber gedreht wird:

• Analyse liefert Hypothesen, nicht Feststellungen.
• Feststellungen brauchen Beweise, die ein Dritter reproduzieren kann.
• Monitoring liefert Signale, Revision entscheidet über Prüfhandlungen.

Continuous Auditing ist dabei kein Dauerprüfen. Es ist ein Betriebsmodell: wenige, aber belastbare Signale – und daraus gezielte, kurze Prüfungen. Das entlastet. Und es schärft den Blick. Aber nur, wenn die Grundlagen stimmen.

Wo KI in der Internen Revision wirklich Wert stiftet

1. Planung und Scoping: KI als Radar, nicht als Autopilot

KI kann Findings, Incidents, KRI-Verläufe und Prozessdaten clustern und Verdichtungen zeigen. Wo häufen sich Ausnahmen? Wo steigen Rückläufer? Wo kippt manuelle Nacharbeit?

Das beschleunigt die Planung spürbar.

Es erhöht aber auch das Risiko einer trügerischen Sicherheit: „Die KI hat gesagt, das Thema ist kritisch.“

Nein! Sie hat Muster gerechnet. Das Risikourteil bleibt menschlich.

Wenn Datenqualität, Definitionen oder Daten-Owner unklar sind, wird Planung nur schneller – nicht besser. Dann wird später im Lenkungskreis über „komische Ergebnisse“ diskutiert. Und das kostet Vertrauen.

2. Durchführung: Drei Use Cases, die echte Prüfungswirkung bringen

Zahlungsverkehr und Finance – Anomalien als Trigger:
Doppelzahlungen, ungewöhnliche Buchungsketten, auffällige Stammdatenänderungen, zeitliche Häufungen: KI findet keinen Betrug. Sie liefert Signale, die eine Prüfung treffsicher machen.

Kreditprozess und Berechtigungen – Muster statt Einzelfälle:
In Banken entstehen Risiken oft nicht im Modell, sondern in der Kette: Wer darf übersteuern? Wo werden Ausnahmen genehmigt? Welche Rollen kumulieren? Analytics kann Abweichungsrouten sichtbar machen, die mit Interview plus Stichprobe kaum auffallen.

Auslagerungen, Provider und Vertragswerk – NLP als Lückenfinder:
Bei großen Vertragsmengen kann Natural Language Processing (NLP) helfen, Mindestinhalte, Abweichungen und fehlende Klauseln schneller zu identifizieren. Der Fachbeitrag des Deutschen Instituts für interne Revision (DIIR) betont genau diese Chancen – und benennt ebenso klar Risiken wie Datenschutz, Datensicherheit und Abhängigkeiten, wenn sensible Informationen in die falsche Umgebung geraten.¹

Der Punkt ist: Dokumente „finden lassen“ ist gut. Dokumente „bewerten lassen“ ist eine andere Liga.

3. Reporting und Follow-up: GenAI kann Sprache – und genau das ist gefährlich

Im Reporting ist GenAI erstaunlich stark: Struktur, Konsistenz, saubere Formulierungen, Maßnahmen-Texte, Follow-up-Listen.

Gleichzeitig liegt hier das größte Reputationsrisiko.

GenAI produziert überzeugende Sätze auch dann, wenn der Beweis dünn ist. Das fühlt sich effizient an. Es ist aber brandgefährlich, weil Glaubwürdigkeit die Währung der Internen Revision ist.

Wenn GenAI im Reporting genutzt wird, braucht es harte Regeln: Ein von GenAI erzeugter Text ist erst mal nur ein Vorschlag für Formulierungen – kein geprüftes Prüfungsergebnis. Jeder Satz muss zurückführbar sein. Prompting, Versionierung und Review-Pflichten gehören dazu – nicht als Bürokratie, sondern als Schutz.

4. Die unbequemen Themen: Governance schlägt Tool-Auswahl

Wer KI in der Internen Revision einführt, ohne Governance vorzuschalten, schafft sich neue Findings – im eigenen Haus.

Vier Fragen entscheiden, ob KI die Interne Revision stärkt oder schwächt:

1. Nachvollziehbarkeit: Kann ich erklären, warum ein Ergebnis so ist, wie es ist?

2. Reproduzierbarkeit: Kommt morgen dasselbe Ergebnis heraus (Logging, Versionierung)?

3. Datenschutz und Vertraulichkeit: Welche Daten dürfen verwendet werden? Welche niemals? Wer kontrolliert das?

4. Kompetenz: Können Revisoren plausibilisieren – oder konsumieren sie nur Output?

Wenn eine dieser Fragen offenbleibt, dann ist KI kein Fortschritt. Dann ist sie Beschleunigung im Nebel.

Regulatorischer Rückenwind: KI wird Prüfobjekt, nicht nur Werkzeug

Der regulatorische Rahmen zieht an – und das betrifft direkt die Governance-Erwartung.

Der EU AI Act ist seit 1. August 2024 in Kraft. Pflichten greifen gestaffelt; ein großer Teil wird ab 2. August 2026 breit anwendbar.²
Das heißt praktisch: KI-Einsatz ist nicht „Innovation“. Er ist Governance – und damit prüfbar.

Auch die Profession selbst erhöht den Anspruch: Die Global Internal Audit Standards sind seit 9. Januar 2025 wirksam.³

Und im Bankenumfeld kommt das ICT-/Security-Setting hinzu: Die European Banking Authority veröffentlichte ihre Guidelines zu ICT- und Security-Risikomanagement mit Anwendungsdatum 20. Mai 2025.⁴

Unterm Strich bleibt festzuhalten: Der Raum für „wir probieren mal“ wird kleiner. Nicht, weil Innovation verboten wäre. Sondern weil Steuerbarkeit eingefordert wird.

Ein Einstieg, der funktioniert: Klein starten, hart absichern, sauber skalieren

Wenn eine Revisionsleitung heute seriös starten möchte, empfehle ich keinen Big-Bang. Ich empfehle einen Piloten, der prüffähig ist.

1. Ein Use Case, der messbar ist (zum Beispiel Zahlungsverkehr-Anomalien oder Vertragslücken bei Auslagerungen).
2. Datenlandkarte und Schutzklassen (Quelle, Qualität, Owner, Zugriff, Aufbewahrung).
3. Methodik dokumentieren (Regeln/Modelle, Schwellen, Version, Grenzen).
4. Pilot als echte Prüfung: Daten → Analyse → Evidence → Befund → Maßnahmen → Follow-up.
5. Qualitätssicherung: Vier-Augen-Prinzip, Logging, Reproduzierbarkeit, Änderungsmanagement.
6. Skalierung erst danach: Und nur dort, wo Signal-Logik wirklich trägt.

So entsteht Prüfungswirkung. Und so entsteht Vorstandsfähigkeit.

Fazit: KI ist kein Upgrade. Sie ist ein Stresstest.

KI kann die Interne Revision entlasten, vertiefen, schärfen. Sie kann Muster sichtbar machen, die früher schlicht unsichtbar waren.

Aber sie verzeiht keine unsauberen Grundlagen. Schlechte Daten bleiben schlechte Daten. Fehlende Governance bleibt fehlende Governance. Und schön formulierte Texte ersetzen keine Evidence.

Wer KI richtig einsetzt, macht die Interne Revision weniger dokumentationslastig – und deutlich mehr zum Challenger.
Wer sie falsch einsetzt, wird zwar schneller, aber auch angreifbarer.

Wenn Sie als Revisionsleitung oder Vorstand KI in der Internen Revision nutzen möchten, lohnt sich ein nüchterner Start: ein Use Case, ein prüffähiger Pilot, klare Leitplanken. Der Rest ergibt sich dann – oder er sollte es zumindest.