KI für Banken

Können ChatGPT und Claude klassische Audit-Analytics-Tools ersetzen?

Veröffentlicht amAutorKarl-Josef Schiffhauer

Unternehmen, Banken und interne Revisionen stehen derzeit vor der Herausforderung, klassische Audit-Analytics-Werkzeuge mit modernen KI-Systemen, wie beispielsweise ChatGPT oder Claude, sinnvoll zu kombinieren.

Künstliche Intelligenz verändert derzeit grundlegend die Arbeitsweise der Internen Revision, der Wirtschaftsprüfung und des IT-Audits. Moderne KI-Systeme ermöglichen heute Datenanalysen, SQL-Abfragen, Python-Skripte sowie komplexe Auswertungen in natürlicher Sprache.

Dies wirft die Frage auf, welche Rolle klassische Audit-Analytics-Tools wie ACL Analytics oder IDEA künftig in der Internen Revision noch spielen werden und ob moderne KI-Werkzeuge diese langfristig ersetzen können. Während KI-gestützte Datenanalysen enorme Effizienzgewinne ermöglichen, stellen sich gleichzeitig Fragen hinsichtlich Revisionssicherheit, Datenschutz, Nachvollziehbarkeit und regulatorischer Compliance.

Historische Entwicklung von ACL und IDEA als klassische Audit-Analytics-Tools

Über viele Jahre gehörten ACL Analytics und IDEA zu den Standardwerkzeugen der Internen Revision und von IT-Auditoren. Insbesondere bei Massendatenanalysen, Journal-Entry-Tests, Compliance-Prüfungen oder Fraud-Analysen galten diese Werkzeuge als unverzichtbar.

Der Fokus von ACL und IDEA lag hierbei auf

  • Revisionsanalysen
  • Fraud Detektion
  • Compliance-Überwachung
  • Continuous Audit.

Die Entwicklung von ACL vollzog sich von ACL über Galvanize hin zu Diligent und endete in einer GRC-Plattform. Als Auditor und Revisor setzten wir zuletzt die ACL Versionen 12 und 13 ein. Aufgrund einer erheblichen Preiserhöhung nahmen wir später keine Updates mehr wahr und setzten die damalige Dongle-basierte ACL-Version noch über mehrere Jahre ein, welche uns stets gute Dienste leistete. Die genannten ACL-Versionen hatten seinerzeit schon die folgenden auditorischen Vorteile:

  1. Revisionssicherheit: Die Ergebnisse waren stets nachvollziehbar.
  2. Audit-Trail: Die durchgeführten Abfragen und Analysen wurden in einem Audit Trail für Dokumentationszwecke stets protokolliert.
  3. Wiederholbarkeit: Die Analysen waren somit reproduzierbar und konnten bei vergleichbaren Prüfungen leicht eingesetzt werden.
  4. Kontrollautomatisierung: Durch die integrierte Programmiersprache von ACL konnten die Analysen für ein Continuous Auditing eingesetzt werden.

Zudem wurde Python als Audit Analytics Werkzeug in die ACL-Software integriert.

IDEA von Caseware erhielt seinerzeit eine weite Verbreitung durch die Entscheidung der Finanzverwaltung, dieses Produkt ihren Steuerprüfern zur Verfügung zu stellen.

Entwicklung moderner Audit Analytics am Beispiel von ACL

ACL war seinerzeit der Pionier in der Analyse von Massendaten. Begonnen hat ACL noch unter einer Microsoft DOS Umgebung. I.d.R. wurde jede ACL Software mit Hilfe eines USB-Dongles vor Raubkopien geschützt. Später wurden die DOS-Versionen von Windows Versionen abgelöst, jedoch können über ein Fenster auch noch die klassische Shell-Umgebung bis heute eingebunden werden. 

Insgesamt stellt ACL Funktionen zum Datenzugriff, Datenanalyse, Berichterstellung und Exportfunktionen zur Verfügung.

Die Windows-Versionen boten sich in erster Linie für nicht Technik affine Auditoren bzw. Revisoren an, da ACL unter Windows nicht zu technisch wirkte und mehr strategisch und business orientiert war. Nach und nach kamen in ACL immer mehr Funktionen hinzu, wie beispielsweise die Python-Integration, so dass ACL in der heutigen Version die folgenden Funktionen im Wesentlichen abdeckt:

  • Unterstützung von zusätzlichen externen Programmiersprachen, wie beispielsweise Python
  • Automatisierung von Workflows
  • Continuous Monitoring bzw. permanentes Auditing
  • Dashboard
  • GRC-Integration 
  • Cloud-Ansätze 
  • KI-Unterstützung

Aufgrund der Vielzahl der inzwischen integrierten Funktionen in ACL Analytics sowie des umfangreichen Produktangebots von Diligent ist es heutzutage jedoch mühsam, ein geeignetes Produkt für die interne Revision bzw. eine Wirtschaftsprüfung bzw. Data-Analysten zu finden. Es stellt sich daher die Frage, ob mit Hilfe von KI-Werkzeugen, wie beispielsweise ChatGPT von OpenAI oder Claude von Anthropic, nicht auch die gleichen Ergebnisse erzielt werden können.

Wie ChatGPT und Claude die Audit Analytics verändern

Mit Hilfe von KI-Werkzeugen können heutzutage diverse Daten in unterschiedlichen Strukturen analysiert werden. Die KI kann auch von weniger Technik affinen Revisoren oder Auditoren eingesetzt werden. Die KI ist heute in der Lage

  • die unterschiedlichsten Daten zu interpretieren, ohne deren Satzaufbau zuvor beschrieben zu haben
  • selbständig Python Code erzeugen, um spezifische Analysen durchzuführen
  • selbständig SQL-Abfragen erstellen, um beispielsweise auf SQL-Datenbanken zuzugreifen
  • selbständig Anomalien zu erkennen, ohne hierbei spezielle Algorithmen zu definieren
  • Berichte in verschiedenen Formaten (PDF, Word, Excel, PowerPoint, CSV, LaTeX, Html, …) zu erzeugen
  • komplexe Prüfungsfragen entwickeln
  • Daten zu visualisieren
  • Auffälligkeiten erklären und 
  • Zusammenfassungen erzeugen.

Während früher in ACL oder IDEA komplexe Skripte erstellt werden mussten, um die o.g. Aufgaben zu erfüllen, genügen heutzutage bereits ein paar Zeilen Prompt in den einzelnen KI-Tools, wie beispielsweise „Analysiere die CSV-Datei mit Buchungen auf doppelte Zahlungen, ungewöhnliche Buchungen und sonstige Auffälligkeiten.“

In Zeiten von KI stellt sich somit die Frage, ob überhaupt noch klassische Audit-Analytics-Tools benötigt werden? Unsere Antwort: Klassische KI-Tools werden nicht ersetzt, sondern die Arbeit wird verschoben, beispielsweise hin zu KI-Tools.s

Vergleich klassischer Audit-Tools ACL / IDEA vs. KI

Stellte man die Funktionen dieser einzelnen Tools gegenüber, so erhält man folgendes Bild:

Kriterium ACL IDEA ChatGPT / Claude
Revisionssicherheit sehr hoch sehr hoch eingeschränkt
Flexibilität mittel mittel extrem hoch
Natürlichsprachliche Bedienung begrenzt begrenzt sehr hoch
Python/SQL eingeschränkt eingeschränkt sehr stark
Dateninterpretation sehr stark sehr stark begrenzt
Halluzinationsrisiko gering gering vorhanden
Nachvollziehbarkeit stark stark organisatorisch notwendig
Continuous Auditing stark mittel abhängig vom Setup

In dieser Übersicht fällt beispielsweise das Halluzinationsrisiko auf, das einzelne KI-Systeme durchaus gelegentlich zeigen. Hier kommt es darauf an, dass man sich mit der jeweiligen KI intensiv auseinandersetzen muss, um solche Halluzinationen zu erkennen bzw. zu vermeiden. Auf jeden Fall bedürfen die mittels KI durchgeführten Analysen einer kritischen Betrachtung. Bei den herkömmlichen Analytics Tools (ACL, IDEA) ist dieses Risiko gering und falls doch in den Ergebnissen falsche Analysen auftauchen sollten, dann ist dies häufig auf Fehlern in den eingesetzten Skripten zurückzuführen.

Bewertung des KI-Einsatzes gegenüber klassischen Analytics Tools (ACL, IDEA)

Es ist unbestritten, dass moderne KI-Systeme wie ChatGPT oder Claude die klassische Datenanalyse in der Internen Revision oder der Wirtschaftsprüfung erheblich verändern, da die KI viele traditionelle Analyseaufgaben vereinfachen oder beschleunigen kann und zudem einfach und mit natürlicher Sprache durchgeführt werden kann.

Für revisionssichere, reproduzierbare und regulatorisch belastbare Prüfungsprozesse besitzen spezialisierte Audit-Analytics-Werkzeuge wie Diligent ACL Analytics oder Caseware IDEA jedoch weiterhin relevante Vorteile. Beispielsweise bei rechtssicheren Analysen, bei denen mögliche Halluzinationen der KI-Tools ausgeschlossen werden müssen.

Als weiterer Aspekt gegen reine KI-Tools sprechen sowohl Datenschutz als auch interne Compliance Regelungen. Es versteht sich von selbst, dass sensible Daten oder vertrauliche interne Unternehmensdaten nicht einfach so in eine KI ins Internet geladen werden sollten. Hierbei sind die Anforderungen der DSGVO unbedingt zu beachten und der Datenschutz- und Informationssicherheitsbeauftragte muss bei der Integration solcher Tools involviert werden. Darüber hinaus sind alle Mitarbeiter eines Unternehmens hinsichtlich der unkontrollierten Nutzung von KI in den Unternehmen und Behörden zu sensibilisieren.

Die Ergebnisse der KI-Analysen können sehr sensible Informationen eines Unternehmens offenlegen. Daher sollten diese Informationen ebenfalls nicht mit einer öffentlichen KI geteilt werden. 

Auf der anderen Seite bietet die KI, beispielsweise von ChatGPT oder Claude, die Möglichkeit, mit Hilfe der Erstellung von Python-Skripten sowie weiteren Werkzeugen (Pandas, SQL, Jupyter, KI-Agenten) die klassischen Analytics-Prozesse zu ersetzen oder zu ergänzen.

KI-Veränderung der klassischen Analyse-Tools

Auch die klassischen Analyse-Tools, wie ACL und IDEA, haben sich in den letzten Jahren in Richtung KI-Einbindung verändert. Beispielsweise bietet Diligent mit ACL AI Studio ein Analyse-Tools an, in welches bereits mit KI die Datenanalyse mit Hilfe

  • natürlicher Sprache unterstützt
  • die KI Vorschläge für die Prüfung von Daten vorschlägt
  • mögliche KI-Halluzinationen durch eine transparente Dokumentation der Prüfschritte begegnen und
  • von Echtzeitanalysen großen Datenmengen in Realtime analysiert werden.

Mit Hilfe der KI werden also klassische Audit Analytics Tools nicht ersetzt, sondern KI verändert grundlegend das Audit Analytics Vorgehen. 

Für den Einsatz von Audit-Analytics-Tools müssen Auditoren bzw. Revisoren nicht mehr mühsam die Syntax der jeweiligen Tools erlernen, sondern können sich in natürlicher Sprache der KI bedienen.

Beispielsweise lassen sich Informationen zu doppelten Zahlungen in ACL mittels

SUMMARIZE ON Vendor SUBTOTAL Amount

ganz einfach mit Hilfe einer KI durch die Eingabe des Satzes

„Analysiere die Kreditorendatei auf doppelte Zahlungen.“

analysieren.

Während früher beispielsweise mittels Journal Entry Analyse (auch Journal Entry Testing oder JET genannt) untersucht wurde, um mögliche Unregelmäßigkeiten, Betrugsindikatoren oder Fehler im Rechnungswesen zu erkennen besteht heutzutage die Möglichkeit, mit Hilfe der natürlichen Sprache die KI zu bitten, ein entsprechendes Skript in Python mit SQL-Abfragen zu generieren.

KI verändert die Prüfungsplanung

Mit Hilfe von KI-Tools lassen sich inzwischen sehr gut die Inhalte von Revisionen bzw. Audits bestimmen. Egal, ob es sich hierbei um klassische oder IT-bezogene Inhalte handelt. Beispielsweise konnten wir mit Hilfe der KI aus der DORA Verordnung einen detaillierten Auditplan für die Prüfung des IKT-Drittparteienrisikos erstellen. Hierbei wurden von der KI die relevanten Themen aus den Artikeln 28 bis 44 zusammengefasst und zu jedem einzelnen Artikel wurden einzelne Prüfungsfragen sowie die zu prüfenden Prüfungshandlungen bzw. die dazugehörigen Evidenzen in Form einer Excel-Tabelle innerhalb kurzer Zeit bereitgestellt. Die anschließende Überprüfung machte nur geringfügige Verbesserungen notwendig, so dass gegenüber einer manuellen Erstellung des Prüfungsplans sicherlich wertvolle Prüfungszeit im Rahmen von ein bis zwei Tagen eingespart werden konnten.

Nachfolgend ein Auszug aus einer KI generierten Checkliste bzw. Auditplans für die Prüfung des IKT-Drittparteienrisikos gemäß der DORA Verordnung:

Nr. DORA-Bezug Anforderung (Soll) Prüfungsfrage Prüfungshandlung / nachzuweisende Evidenz Feststellung / Bemerkung Bewertung
Artikel 28 – Allgemeine Prinzipien
1 Art. 28 Abs. 1 IKT-Drittparteienrisiko wird als integraler Bestandteil des IKT-Risikos innerhalb des IKT-Risikomanagementrahmens (Art. 6 Abs. 1) gemanagt. Ist das IKT-Drittparteienrisiko nachweislich in den IKT-Risikomanagementrahmen nach Art. 6 Abs. 1 integriert und nicht als isolierter Prozess geführt? Einsicht IKT-Risikomanagementrahmen, Risikomanagement-Leitlinien, Prozessdokumentation; Nachweis der Verzahnung Drittparteien-/IKT-Risiko.    
2 Art. 28 Abs. 1 a) Das Finanzunternehmen bleibt trotz Auslagerung jederzeit voll verantwortlich für die Einhaltung aller regulatorischen Verpflichtungen. Ist sichergestellt und dokumentiert, dass die Letztverantwortung für ausgelagerte IKT-Dienstleistungen beim Finanzunternehmen verbleibt (keine Verantwortungsabwälzung auf den Dienstleister)? Auslagerungsleitlinie, Governance-Dokumente, Verträge; Prüfung auf Verantwortungs- und Haftungsregelungen.    
3 Art. 28 Abs. 1 b) Beim Management wird der Grundsatz der Verhältnismäßigkeit berücksichtigt (Art, Ausmaß, Komplexität, Relevanz der IKT-Abhängigkeiten sowie Kritikalität/Relevanz der Dienstleistungen). Wird der Verhältnismäßigkeitsgrundsatz nachvollziehbar angewandt, indem Art, Ausmaß, Komplexität und Kritikalität der IKT-Abhängigkeiten und der Dienstleistungen bewertet werden? Risikobewertungsmethodik, Kritikalitätseinstufung, Dokumentation der Abhängigkeitsanalyse je Dienstleister/Funktion.    
4 Art. 28 Abs. 2 Finanzunternehmen beschließen eine Strategie für das IKT-Drittparteienrisiko, überprüfen sie regelmäßig und berücksichtigen ggf. eine Multi-Anbieter-Strategie (Art. 6 Abs. 9). Existiert eine formell beschlossene Strategie für das IKT-Drittparteienrisiko, die regelmäßig überprüft wird und eine Multi-Anbieter-Strategie berücksichtigt? (Prüfen, ob Kleinstunternehmen-/Art.16-Ausnahme greift.) Strategiedokument, Beschlussfassung, Überprüfungsnachweise/Versionshistorie; Einstufung als Kleinstunternehmen prüfen.    
5 Art. 28 Abs. 2 Die Strategie zum IKT-Drittparteienrisiko umfasst eine Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen. Enthält die Strategie eine Leitlinie speziell für IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen? Leitlinie/Policy für kritische/wichtige Funktionen; Abgleich mit der Strategie.    
           

Unsere Erfahrung

Als langjährige Berater im Bereich IT-Compliance, IT-Revision sowie Data-Analytics ist ein klarer Trend hin zum Einsatz von KI zu erkennen. Um Datenschutz- und Compliance-Risiken zu begegnen, setzen wir hier jedoch auf lokal laufende KI-Tools, welche die Daten nicht ins Internet senden. Die hierfür notwendige Hardware ist inzwischen verfügbar und es ist damit zu rechnen, dass die Leistungsfähigkeit lokal betriebener KI in Zukunft immer mehr zunehmen wird.

Die Datenanalyse mittels KI wird die Vorgehensweise im Bereich Revision und Wirtschaftsprüfung stark revolutionieren. Hierbei müssen jedoch die derzeitigen Schwachstellen der KI, wie beispielsweise

  • Halluzinationen
  • fehlende Rechtssicherheit sowie 
  • mögliche Haftungsfragen und
  • DSGVO- und Compliance-Risiken

berücksichtigt werden.

Die KI-gestützte Revision macht also nur dort Sinn, wo die Ergebnisse vollständig verifiziert und rechtlichen Risiken ausgeschlossen werden können.

Für die Erstellung von Auditplänen für einzelnen Themengebiete eignet sich die KI bereits derzeit hervorragend. Die KI ist in der Lage, auch einem nicht so erfahrenen Prüfer bzw. Revisor eine sinnvolle Grundlage für einzelne Prüfungshandlungen an die Hand zu geben. Jedoch ist bei der Prüfungsdurchführung der notwendige Sachverstand unerlässlich, um die einzelnen Prüfungsthemen abschließend beurteilen zu können.

Jetzt Kontakt aufnehmen

Sie möchten KI in der Revision einsetzen und hierfür die richtigen Werkzeuge und Vorgehensweisen kennenlernen?

Dann nehmen Sie gerne mit uns Kontakt auf.