1 Neue Realitäten in der Compliance

Der Großteil der Arbeit in Compliance-Abteilungen ist heute weitgehend manuell organisiert, zumindest auf der Oberfläche. Die Realität sieht jedoch anders aus: Viele Mitarbeiter nutzen bereits KI-gestützte Werkzeuge nach eigenem Ermessen und ohne einheitliche Vorgaben. Dies führt zu einer spürbaren individuellen Zeitersparnis und damit zu einer höheren Leistungsfähigkeit des Einzelnen im Tagesgeschäft.

Auf den ersten Blick scheint der Einsatz von KI die Qualität der erstellten Inhalte zu verbessern – und in vielen Fällen ist das auch zutreffend. Gleichzeitig zeigt sich jedoch ein gegenläufiger Effekt: Nutzer neigen dazu, KI-generierte Inhalte weniger kritisch zu hinterfragen und stärker auf deren Plausibilität zu vertrauen. In der Forschung wird dieses Phänomen als „Automation Bias“ beschrieben – also die Tendenz, automatisierten Ergebnissen zu viel Vertrauen entgegenzubringen und sie unzureichend zu prüfen. In der Praxis führt das dazu, dass subtile Fehler – etwa inkonsistente Terminologie, Redundanzen oder inhaltlich fragwürdige Aussagen – häufiger unentdeckt bleiben, da sie bei oberflächlicher Durchsicht plausibel wirken.[1]

Gleichzeitig wächst das Volumen an Texten und Dokumenten, die erforderlich sind, um die Vielfalt regulatorischer Anforderungen zu erfüllen. Angesichts der eingeschränkten Qualitätskontrolle vergrößern sich damit auch die potenziellen Angriffspunkte für Auditoren. Mit zunehmender Informationsmenge steigt die Wahrscheinlichkeit für Duplikate, Widersprüche und Mehrdeutigkeiten innerhalb des Dokumentenbestands.

Erschwerend kommt hinzu, dass auch Auditoren zunehmend KI für ihre Arbeit einsetzen. Einfaches Prompting auf die zu prüfenden Inhalte in Kombination mit den relevanten Regulatorik reichen, um eine Reihe von wahrscheinlichen Fehlstellen aufzudecken. Das hat weitreichende Konsequenzen: Anfragen und Rückfragen häufen sich, da der Auditor sich nicht mehr auf einzelne Fokuspunkte beschränken muss, sondern in der Lage ist, die gesamte Dokumentationsbreite systematisch zu durcharbeiten. Dieses teilautomatisierte Vorgehen findet zudem in deutlich kürzerer Zeit statt. Der Druck auf die Compliance-Abteilung steigt dadurch erheblich.

Diese Entwicklung ist kein Einzelfall, sondern Ausdruck eines branchenweiten Trends. Eine globale Befragung des Marktforschungsinstituts IDC unter mehr als 1.000 Fachkräften aus Wirtschaftsprüfung und Rechnungswesen zeigt, dass bereits zwei Drittel (66 %) der Auditoren KI aktiv einsetzen – sei es in Pilotprojekten, in abgegrenzten Anwendungsfeldern oder bereits als Teil der Kanzlei-Strategie [2]. Auch die Erwartung an die Technologie ist eindeutig: In einer PwC-Studie unter Führungskräften aus dem Finanz- und Rechnungswesen rechnen 76 % der Befragten damit, dass KI die Abschlussprüfung in den kommenden Jahren technologisch massiv verändern wird; ebenso viele gehen davon aus, dass sich die Prüfung damit zumindest teilweise automatisieren lässt [3]. Auch der Berufsstand selbst hat reagiert: Die Wirtschaftsprüferkammer hat im Februar 2025 erstmals einen Fragen- und Antworten-Katalog zum Einsatz von KI in der WP-Praxis veröffentlicht, der den Umgang mit der Technologie professionalisieren und für die damit verbundenen Risiken sensibilisieren soll [4]. Parallel dazu wächst auch der regulatorische Druck auf die Compliance-Seite spürbar: Allein im ersten Jahr unter dem Digital Operational Resilience Act (DORA) wurden der BaFin über 600 schwerwiegende IKT-Vorfälle gemeldet – ein Meldeaufkommen, das deutlich über den Werten unter dem vorherigen PSD2-Regime liegt [5]. Die Entwicklung läuft damit gleichzeitig auf mehreren Ebenen: Prüfer-Tooling, Berufsstandards und Aufsichtsregime verschieben sich parallel – und reduzieren das Zeitfenster, in dem Compliance-Abteilungen ihren Rückstand aufholen können.

Abbildung 1: Indikationen im Markt für einen KI-Wandel im Audit

Ein konkretes Kundenbeispiel verdeutlicht diese Entwicklung: Ein externer Prüfer richtete im Rahmen eines DORA-spezifischen Informationsrequests eine zunächst routinemäßig wirkende Anfrage an die Compliance-Abteilung eines Finanzinstituts. Zur Beantwortung wurde ein umfangreiches Dokumentenkonvolut übergeben – bestehend aus Richtlinien, Prozessbeschreibungen, Risikoanalysen und Nachweisdokumenten über mehrere Regulierungsbereiche hinweg. Bereits nach drei Stunden folgten gezielte Rückfragen: Der Prüfer identifizierte fehlende Dokumente, auf die in den übermittelten Unterlagen explizit verwiesen wurde, benannte terminologische Inkonsistenzen zwischen einzelnen Richtlinien und hinterfragte Versionsstände, die nicht zur dokumentierten Änderungshistorie passten. Was formal als begrenzter Informationsrequest begonnen hatte, mündete durch den KI-gestützten Abgleich der Unterlagen in eine nahezu vollständige Prüfung der schriftlich fixierten Ordnung (sfO) – ein Umfang, der weit über die ursprüngliche Anfrage hinausging und die Compliance-Abteilung vollkommen unvorbereitet traf. Aufgaben, für die ein Prüfer in der Vergangenheit Tage benötigt hätte, waren in einem Bruchteil der Zeit abgeschlossen. Eine derart präzise und schnelle Reaktion verkleinert den Raum für Fehler drastisch und drängt die Compliance-Abteilung in die Defensive.

Dieser Blogpost untersucht, wie sich das Kräfteverhältnis zwischen Compliance-Organisationen und ihren Prüfern durch den beidseitigen Einsatz von KI fundamental verschiebt. Er analysiert die strukturellen Risiken eines unkontrollierten KI-Einsatzes in der Dokumentenerstellung, beleuchtet die veränderte Dynamik auf Seiten der Auditoren und stellt die zentrale Frage: Wie muss sich eine Compliance-Abteilung aufstellen, um in einem Umfeld zu bestehen, in dem Geschwindigkeit und Prüftiefe nicht länger durch menschliche Kapazitätsgrenzen limitiert sind?

2  KI als Hebel für Auditoren

Aus der Beratungspraxis lässt sich eine klare Tendenz beobachten: Auditoren setzen zunehmend KI-gestützte Werkzeuge in ihrer Prüfungsarbeit ein. Dabei zeigen sich typische Muster: Sie referenzieren gezielt spezifische Paragraphen, vergleichen Dokumente systematisch miteinander und identifizieren Widersprüche über verschiedene Unterlagen hinweg. Angesichts der Datenmenge und der Erfahrungen aus vergangenen Audits deutet diese Arbeitsweise klar auf den Einsatz von KI hin. Das Ergebnis: Antworten und Rückfragen kommen nicht nur schneller, sondern es werden auch deutlich mehr Inhalte durchdrungen – anstatt sich wie bisher auf ausgewählte Fokusbereiche zu beschränken.

Auditoren verfügen dabei über einen strukturellen Vorteil: Ihre Aufgabe besteht darin, Auffälligkeiten zu identifizieren, wobei bereits eine Stichprobe ausreicht, um Beanstandungen zu formulieren. Genau diese Aufgabenstellung lässt sich mit heutigen Standard-KI-Tools wie ChatGPT, Claude oder Gemini ohne Weiteres erfüllen – der Einsatz von Spezialwerkzeugen ist dafür nicht erforderlich.

Die Einstiegshürde ist dabei bemerkenswert niedrig: Ein handelsüblicher Zugang zu einem der genannten Tools, ein durchdachter Prompt und die zu prüfende Dokumente genügen, um innerhalb weniger Stunden strukturierte Ergebnisse zu erzielen.

In der Praxis bedeutet das: Die regulatorische Grundlage sowie die relevanten Teile der schriftlich fixierten Ordnung werden vollständig an das Tool übergeben. Mit einem gezielten Prompt lassen sich Widersprüche oder der Erfüllungsgrad einzelner Anforderungen in kurzer Zeit identifizieren. Dies garantiert zwar nicht die Aufdeckung sämtlicher Findings – doch das ist auch nicht der Anspruch. Für den Auditor genügt eine fundierte Stichprobe, um wirksame Feststellungen zu treffen.

Für die Compliance-Abteilung entsteht daraus ein fundamentales Ungleichgewicht: Während Auditoren mit minimalem Aufwand deutlich wirksamer prüfen können, lässt sich die Gegenseite – die vollständige, widerspruchsfreie Abdeckung aller regulatorischen Anforderungen – nicht mit denselben Mitteln erreichen. Warum das so ist, zeigt das folgende Kapitel.

3  Keine out-of-the-box KI für qualitative Compliance-Arbeit

Compliance-Arbeit unterscheidet sich grundlegend von der Arbeit eines Auditors. Während ein Prüfer lediglich Auffälligkeiten in einer Stichprobe identifizieren muss, ist die Compliance-Abteilung dafür verantwortlich, eine vollständige Abdeckung über alle regulatorischen Ebenen hinweg sicherzustellen. Jede Anforderung muss korrekt und angemessen adressiert werden – die Abteilung trägt die Verantwortung und das Risiko für etwaige Findings. Oder kurz gesagt:

Der Auditor sucht die Nadel im Heuhaufen. Compliance muss dafür sorgen, dass es keine gibt. Mit KI sucht der Auditor jedoch nicht mehr nur mit dem Auge, sondern mit einem Magneten.

Wer als reguliertes (Finanz)institut dieses Problem nicht aktiv adressiert, gerät unweigerlich in die Defensive.

Grundsätzlich brilliert KI bei rein textbasierten Aufgabenstellungen – Soll-Soll Abgleiche, Formulierung von Anweisungen und Richtlinien, Suchen von Inkonsistenzen, … – genau das ist Compliance-Arbeit in weiten Teilen. Doch mit steigender Komplexität (Problemgröße und Abhängigkeiten) nimmt auch die Ungenauigkeit der Ergebnisse zu. Das betrifft vor allem Abhängigkeiten zwischen verschiedenen Regulierungen und Dokumenten der schriftlich fixierten Ordnung sowie implizites Wissen und etablierte Vorgehensweisen, die nicht explizit dokumentiert sind, jedoch für die fachlich korrekte Bearbeitung essenziell bleiben – etwa eingelebte Abstimmungswege oder kontextabhängige Priorisierungen. Menschliche Mitarbeiter kennen diese organisatorisch und fachlichen Arbeitsabläufe, für die KI müssen sie erst modelliert werden. Compliance-Arbeit ist daher keine Aufgabe, die sich mit Standard-KI-Funktionalität out-of-the-box lösen lässt.

Abbildung 2: KI-Vorteil Prüfer vs. Compliance-Rückstand

Der Effekt ist ein spürbares Ungleichgewicht: Die KI-Werkzeuge des Prüfers sind deutlich einfacher zugänglich und erfordern keine aufwändige Anpassung, während die Compliance-Seite auf spezialisierte Lösungen angewiesen ist, um mit dem technologischen Hebel einen ähnlich starken Effekt zu erzielen.

Um dieses Ungleichgewicht aufzulösen, muss KI-Funktionalität in der Compliance so gestaltet werden, dass sie implizite Strukturinformationen in der Regulatorik und der schriftlich fixierten Ordnung versteht und fachlich korrekte Arbeitsweisen abbildet. Das gelingt durch eine gezielte Modellierung der regulatorischen Struktur, des Unternehmenskontextes und der Kontrollarchitektur. Hierfür werden KI-Strukturmodelle, Taxonomien, Regelwerke und Kontextdaten zugänglich gemacht. Erst spezialisierte Tools, die auf einem solchen Fundament aufbauen, können Compliance-Aufgaben zuverlässig und präzise bewältigen und die geforderte Vollständigkeit sowie Widerspruchsfreiheit gewährleisten.

Damit ist eine notwendige, aber noch keine hinreichende Bedingung erfüllt: Spezialisierte KI-Werkzeuge adressieren die qualitative Lücke in der Compliance-Arbeit, lösen aber nicht das übergreifende Problem des wachsenden Prüfungsdrucks. Dafür braucht es ein ganzheitliches Zielbild, das über einzelne Werkzeuge hinausgeht.

Diesen Umstand haben wir bereits in unserem vorigen Blogpost "An innovative approach to automate compliance work" ausführlich thematisiert

4  Der Weg zum integrierten Compliance-Zielbild zur Wiederherstellung des Gleichgewichts

Compliance-Arbeit erstreckt sich von der Gestaltung der Prozesse und Inhalte ausgehend von der Regulatorik über deren Umsetzung bis hin zur laufenden Kontrolle. Es handelt sich um ein System, das ganzheitlich betrachtet werden muss, da erst das Zusammenspiel aller Ebenen die vollständige Antwort auf die regulatorischen Anforderungen bildet.

Abbildung 3: KI-use cases im Rahmen des Anweisungswesens (schriftlich fixierte Ordnung)

KI kann einzelne Arbeitsschritte innerhalb dieses Systems maschinell unterstützt abbilden. Das gilt jedoch nicht pauschal für alle Tätigkeiten, sondern ausschließlich für solche, die fachlich präzise modelliert und umgesetzt wurden. Ziel muss es daher sein, ein Zielbild zu definieren, in dem maschinell unterstützbare Arbeitsschritte gezielt durch KI abgebildet werden, Informationen nahtlos und nachvollziehbar fließen und abgelegt werden und jederzeit Transparenz über Zustand und Prozess herrscht. Erst dann wird eine durchgängige Arbeit entlang der gesamten Prozesskette möglich – in einer integrierten Systemlandschaft.
Hat man das Zielbild definiert, die KI-Komponenten für die einzelnen Arbeitsschritte konzipiert und zielführend integriert, ergeben sich daraus grundlegende Vorteile:

• Durchgängige Sicherstellung der Korrektheit über den gesamten Textkorpus hinweg

• Vollständige Transparenz über den Zustand der Compliance durch Dashboards und vergleichbare Instrumente

• Deutlich verbesserte Planbarkeit bei der Behebung von Findings – nicht erst unter dem Druck eines bevorstehenden Audits

• Spürbare Einsparung von Ressourcen für nicht wertschöpfende Tätigkeiten

Bereits heute lassen sich konkrete Funktionalitäten zuverlässig maschinell unterstützt umsetzen, wie folgende Beispiele zeigen:

Soll-Soll-Abgleich: Regulatorik gegen schriftlich fixierte Ordnung

Ein zentraler Arbeitsschritt ist der Soll-Soll-Abgleich, also der systematische Abgleich zwischen Regulatorik und schriftlich fixierter Ordnung. Dabei werden drei Tests sichergestellt:

1. Widerspruchsfreiheit zwischen sfO und Regulatorik

2. Widerspruchsfreiheit der sfO-Dokumente untereinander

3. Vollständigkeit der sfO gegenüber den regulatorischen Anforderungen

Der Einsatz von KI ermöglicht, dass diese Tests kontinuierlich durchgeführt werden – nicht erst kurz vor einem Audit, sondern zu jedem Zeitpunkt. Die Ergebnisse werden transparent dargestellt, beispielsweise über ein Dashboard, sodass auch Nicht-Fachkräfte jederzeit über den aktuellen Status informiert sind. Dieser Ansatz macht das Problem langfristig planbar, senkt kurzfristige Arbeitsaufwände und bewirkt eine kontinuierliche Verbesserung der Dokumentationsqualität. Perspektivisch werden Fachkräfte damit von der Detailarbeit entlastet und können sich wieder auf langfristige Gestaltungsaufgaben konzentrieren.

Abbildung 4: Kontinuierliche Tests und Dashboard Funktionalität

Technischer Soll-Ist-Abgleich: Vorgaben gegen tatsächliche Umsetzung

Ein weiterer Bereich ist der technische Soll-Ist-Abgleich. Die Fähigkeiten für einen automatisierten Abgleich zwischen Vorgaben und tatsächlicher technischer Umsetzung sind heute keine Besonderheit mehr und finden sich meist als Bestandteil weitreichenderer GRC-Tool-Suiten. Aufbauend auf technischen Standards wie beispielsweise dem CIS-Benchmark werden Regelwerke definiert, die mit Zugang zur technischen Basis und Konfiguration kontinuierlich die Umsetzung gegenüber den Anweisungen abgleichen. Der technische Soll-Ist-Abgleich ist damit bereits heute relativ zuverlässig automatisierbar.

Organisatorischer Soll-Ist-Abgleich: Anweisungen gegen gelebte Praxis

Der organisatorische Soll-Ist-Abgleich hingegen ist aktuell noch nicht realisiert. Theoretisch denkbar wäre ein Agent, der Evidenzen in Systemen und Dokumenten aus unstrukturierten Informationen abfragt, um den Soll-Ist-Zustand auf organisatorischer Ebene festzustellen. Basis für ein solches Werkzeug wäre eine kuratierte und strukturierte Ablage der Anweisungen sowie der Systemkonfigurationen, auf deren Grundlage Evidenzen gesammelt und zugeordnet werden könnten. Es ist zu erwarten, dass dieser Test in absehbarer Zeit zumindest teilautomatisierbar sein wird.

Die Beispiele zeigen: KI in der Compliance ist kein Zukunftsversprechen, sondern in Teilen bereits operative Realität. Entscheidend ist jedoch, dass der Einsatz nicht punktuell und isoliert erfolgt, sondern eingebettet in ein durchdachtes Zielbild, das Prozesse, Datenflüsse und Verantwortlichkeiten klar definiert. Wer heute beginnt, die Grundlagen dafür zu schaffen – strukturierte Dokumentation, saubere Prozessmodellierung und eine integrierte Systemlandschaft – wird morgen nicht nur effizienter prüfen, sondern Compliance als kontinuierlichen, steuerbaren Prozess betreiben können. Der Wandel von der reaktiven Prüfungsvorbereitung hin zu einem proaktiven, maschinengestützten Compliance-Management ist keine Frage des Ob, sondern des Wann – und vor allem das Wie.

Abbildung 5: Zwei Wege zum integrierten Compliance-Zielbild

Für die konkrete Umsetzung bieten sich grundsätzlich zwei Herangehensweisen an. Der Bottom-up-Ansatz beginnt mit einem spezialisierten KI-Werkzeug für eine klar abgegrenzte Compliance-Aufgabe – etwa dem eingangs beschriebenen Soll-Soll-Abgleichs oder dem technischen Soll-Ist-Check. Aus mehreren erprobten Einzellösungen wächst schrittweise eine integrierte Compliance-Landschaft heran. Dieser Weg überzeugt durch eine schnelle Time-to-Value, einen klar messbaren ROI, eine niedrige Einstiegshürde und den frühen Lerneffekt am konkreten Anwendungsfall und liefert zugleich unmittelbare Entlastung im operativen Druck. Der Top-down-Ansatz dreht die Reihenfolge um: Zuerst wird die integrierte Ziel-Architektur entworfen mit klar definierten Datenflüssen, Reporting-Strukturen und Governance-Mechanismen, bevor innerhalb dieses Rahmens die einzelnen KI-Komponenten für konkrete Workflows realisiert werden. Seine Stärken liegen in einer konsistenten Architektur ohne nachträglichen Integrationsaufwand, durchgängigen Datenflüssen, der vollen Hebelwirkung durch Synergien zwischen den Komponenten sowie strategischer Klarheit und Skalierbarkeit für künftige regulatorische Anforderungen. In der Praxis empfiehlt sich, beide Ansätze parallel zu verfolgen: Das top-down entworfene Zielbild liefert die Architektur-Leitplanken, während die bottom-up realisierten Einzellösungen sofortigen Nutzen schaffen und das Zielbild laufend mit Praxiserfahrung schärfen. So wird verhindert, dass isolierte Insellösungen entstehen, ohne dass die Organisation auf den Mehrwert eines durchdachten Gesamtsystems warten muss.

Beginnen Sie mit einer ehrlichen Bestandsaufnahme und entwerfen Sie ein grobes Zielbild Ihrer Compliance-Architektur, während Sie zugleich einen klar abgegrenzten Anwendungsfall als ersten Praxisbaustein umsetzen. So verbinden Sie strategische Leitplanken von oben mit schnell messbarem Nutzen von unten und gestalten den Wandel zum proaktiven Compliance-Management aktiv mit, statt ihn später unter Audit-Druck nachholen zu müssen.

Sources:

[1] Exploring automation bias in human–AI collaboration (Springer, 2025).

[2] IDC / Caseware, The Future of Audit and Accounting in the AI Era, Februar 2026.

[3] PwC, Künstliche Intelligenz im Corporate Accounting und Audit, Mai 2025.

[4] WPK, Fragen und Antworten zum Einsatz von künstlicher Intelligenz in der WP-Praxis, Februar 2025.

[5] BaFin / PPI AG, DORA Recap 2025.