IKS Kontrolle: Chancen und Herausforderungen durch die Digitalisierung

Passende Arbeitshilfen
Einleitung
Die stetige Zunahme regulatorischer Anforderungen sowie eine steigende Anzahl von Geschäftsvorfällen stellen das IKS regelmässig vor neue Herausforderungen. Einerseits gilt es, die notwendige Sicherheit und Überwachung von Geschäftsprozessen möglichst effektiv und effizient sicherzustellen. Andererseits sind interne Kontrollen in der Praxis noch häufig durch eine hohe Anzahl an manuellen Tätigkeiten geprägt.
Die fortschreitende Digitalisierung hat tiefgreifende Auswirkungen auf die Unternehmensführung und das Management Interner Kontrollsysteme (IKS). Sie eröffnet neue Möglichkeiten zur Effizienzsteigerung durch die Automatisierung und Verbesserung von der IKS Kontrolle, birgt aber auch neue Risiken, insbesondere in Bezug auf Datenschutz und Compliance.
Dieser vorliegende Beitrag gibt einen Überblick über die wesentlichen Aspekte der Digitalisierung im Zusammenhang mit dem Internen Kontrollsystem von Unternehmen und beleuchtet insbesondere die Rolle der generativen KI und die damit verbundenen Herausforderungen aus der Sicht von Compliance und Datenschutz.
Digitalisierung und IKS: Chancen und Herausforderungen
Die Digitalisierung verändert das IKS auf verschiedenen Ebenen. Zum einen führt die Einführung von IT-Systemen zur Automatisierung von Prozessen und Kontrollen, was die Effizienz und Genauigkeit erhöht. Zum anderen entstehen durch die Nutzung digitaler Technologien neue Risiken wie etwa Cyberangriffe oder systemische Fehler, die das Kontrollsystem anfällig machen können.
Digitale Technologien ermöglichen die Automatisierung vieler bisher manuell durchgeführter IKS Kontrollen. So können Systeme zur Überwachung von Transaktionen in Echtzeit Abweichungen erkennen und automatisch Meldungen erzeugen bzw. auslösen. Diese Automatisierung reduziert nicht nur den manuellen Aufwand, sondern minimiert auch menschliche Fehler und kann die Geschwindigkeit und Genauigkeit der IKS Kontrolle erheblich verbessern.
Eine der neuesten Entwicklungen in der Digitalisierung ist der Einsatz generativer künstlicher Intelligenz (KI). Generative KI-Modelle, wie sie durch Deep Learning und Natural Language Processing (NLP) möglich werden, können komplexe Datenanalysen durchführen, Anomalien in großen Datensätzen erkennen und sogar Vorhersagen über zukünftige Risiken treffen. Ein Beispiel hierfür ist die Analyse von Transaktionsdaten, um ungewöhnliche Muster zu erkennen, die auf Betrug hinweisen könnten. Dies kann eine signifikante Verbesserung gegenüber traditionellen regelbasierten Kontrollsystemen darstellen.
Automatisierung manueller Kontrollen durch generative KI
Der Einsatz generativer KI zur Automatisierung von der IKS Kontrolle bietet zahlreiche Vorteile. Ein wesentlicher Aspekt ist die Fähigkeit von KI-Systemen, aus großen Datenmengen zu lernen und Muster zu erkennen, die für den Menschen nur schwer nachvollziehbar sind. Beispielsweise können KI-Systeme durch die Analyse historischer Transaktionsdaten Muster erkennen, die auf zukünftige Risiken hindeuten könnten. Diese Systeme können dann automatisierte Alarme auslösen oder sogar präventive Maßnahmen vorschlagen.
Ein konkretes Beispiel für die Automatisierung durch generative KI ist die automatisierte Überprüfung von Rechnungen und Zahlungsströmen. Ein generatives KI-Modell könnte lernen, welche Rechnungen in der Vergangenheit legitim waren, und bei zukünftigen Rechnungen automatisch Abweichungen erkennen, die auf potenziellen Betrug hindeuten.
Herausforderungen bei der Implementierung: Trotz der vielen Vorteile bringt die Automatisierung durch generative KI auch Herausforderungen mit sich. Ein zentrales Problem ist die Erklärbarkeit von KI-Entscheidungen (sog. Black-Box-Problematik). Dies stellt besondere Anforderungen an die Compliance, da Unternehmen in der Lage sein müssen, Entscheidungen der KI nachzuvollziehen und zu rechtfertigen. Dies ist insbesondere im Kontext von regulatorischen Anforderungen und Audits wichtig.
Compliance, Corporate Governance und Datenschutz
Die Automatisierung von der IKS Kontrolle durch digitale Technologien und KI wirft wichtige Fragen in Bezug auf Compliance, Corporate Governance und Datenschutz auf. Unternehmen müssen sicherstellen, dass die automatisierten Prozesse den gesetzlichen und regulatorischen Anforderungen entsprechen und gleichzeitig die Prinzipien der Corporate Governance beachtet werden.
Compliance
Automatisierte Kontrollen müssen den bestehenden regulatorischen Anforderungen entsprechen. Insbesondere im Finanzsektor gibt es strikte Vorschriften zur Überwachung und Dokumentation von Kontrollprozessen. Unternehmen müssen sicherstellen, dass die durch KI automatisierten Kontrollen nachvollziehbar und dokumentiert sind, um regulatorische Anforderungen zu erfüllen.
Corporate Governance
Ein starkes IKS ist ein wesentlicher Bestandteil der Corporate Governance. Die Automatisierung darf nicht zu einer Schwächung der Kontrollmechanismen führen. Es ist wichtig, dass Unternehmen die Integrität und Unabhängigkeit der Kontrollprozesse aufrechterhalten und regelmäßig überprüfen, ob die KI-Systeme wie beabsichtigt funktionieren.
Datenschutz
Der Datenschutz ist ein zentrales Thema bei der Automatisierung von Kontrollen, insbesondere wenn personenbezogene Daten verarbeitet werden. Unternehmen müssen sicherstellen, dass die eingesetzten Technologien den Datenschutzanforderungen entsprechen. Dies umfasst u.a. die Implementierung von Datenschutzmassnahmen wie Anonymisierung, Pseudonymisierung und die Sicherstellung, dass Daten nur für den vorgesehenen Zweck verarbeitet werden.
Passende Produkt-Empfehlungen
Continuous Control Monitoring (CCM)
Continuous Control Monitoring (CCM) gilt als eine technologiebasierte Lösung zur kontinuierlichen Überwachung von Prozessen, die in Unternehmen die Umstellung von traditionellen, routinemässigen und stichprobenbasierten Testmodellen auf wertorientierte Untersuchungen transformiert. Das Interne Kontrollsystem umfasst hierbei in der Regel Kontrollen zur Überwachung von Key-Performance-Indikatoren (KPIs) für kritische Geschäftsprozesse sowie Kontrollen zur Einhaltung der definierten Abläufe.
Welche KPIs für kritische Geschäftsprozesse zu wählen sind, kann je nach Branche und Geschäftsmodell variieren. Ein Detailhändler sollte beispielsweise den durchschnittlichen Einkaufswert von Verkaufstransaktionen und den Umsatz pro Quadratmeter stationärer Verkaufsflächen verfolgen. Ein Spital als Gesundheitsorganisation muss dagegen eher die Wartezeiten in den Notaufnahmen, die durchschnittliche Aufenthaltsdauer in einem Spital oder neben anderen Metriken auch die Re-Hospitationsrate messen.
Das CCM beinhaltet beispielsweise die Prüfung von Freigaben im Vieraugenprinzip für ausgehende Zahlungen oder die funktionsgerechte Vergabe von Berechtigungen in IT-Systemen zur Sicherstellung der Funktionstrennung.
Konzept des «Lines of Defense»:
Als Plattform, die als verwalteter Service angeboten wird, befähigt CCM die erste Linie, ihre operativen Prozesse selbst zu verwalten und zu betreiben, während Transparenz und Prüfbarkeit gewährleistet bleiben. Das Protokoll ermöglicht es der zweiten und dritten Verteidigungslinie, die Aktivitäten der ersten Linie zu überwachen, wodurch Redundanzen bei den Tests und damit verbundene Kosten vermieden werden.
Large Language Models (LLMs) im Dienst des IKS
Large Language Models (LLMs) sind fortschrittliche künstliche Intelligenzsysteme, die auf riesigen Mengen an Textdaten trainiert wurden, um menschliche Sprache zu verstehen und zu generieren. Sie basieren auf neuronalen Netzwerken, insbesondere auf der Transformer-Architektur, und sind in der Lage, komplexe sprachliche Aufgaben wie Textverstehen, Übersetzung, Textgenerierung und sogar logische Schlussfolgerungen zu bewältigen. Beispiele für LLMs sind GPT-4 oder ähnliche Modelle. Diese Modelle können große Datenmengen verarbeiten, um kontextuelle Zusammenhänge zu erkennen und auf dieser Basis sinnvolle Antworten oder Lösungen zu liefern.
Automatisierte Überprüfung von Transaktionen und Dokumentationen
LLMs können repetitive, manuelle Kontrollen, die häufig fehleranfällig und zeitaufwendig sind, automatisieren. Durch ihre Fähigkeit, Texte und Daten in Echtzeit zu analysieren, können sie Prüfungsschritte wie die Überprüfung von Transaktionsprotokollen oder die Einhaltung von Richtlinien wesentlich effizienter gestalten. So können manuelle Kontrollprozesse durch LLM-basierte Lösungen unterstützt und teilweise vollständig ersetzt werden, womit Vorteile wie Zeitersparnis und erhöhte Genauigkeit durch automatisierte Prüfung und Fehlermeldung erreicht werden können.
Ein Beispiel hierfür ist die automatisierte Rechnungsprüfung oder der sogenannte «Drei-Wege-Abgleich», welcher durch ein LLM durchgeführt werden kann, wenn es in der Lage ist, Abweichungen in Echtzeit zu erkennen und zu melden.
Unterstützung bei der Einhaltung von Vorschriften und Compliance
LLMs können aktuelle regulatorische Anforderungen analysieren und mit Unternehmensrichtlinien abgleichen. Sie helfen dabei, sicherzustellen, dass alle Prozesse und Aktivitäten im Einklang mit den geltenden Gesetzen und Vorschriften stehen. Zudem können sie schnell auf Änderungen in der Gesetzgebung reagieren und Unternehmen dabei unterstützen, ihre Kontrollmechanismen entsprechend anzupassen. Als Vorteile hierfür lassen sich die Reduzierung von Compliance-Risiken und die Erhöhung der Anpassungsfähigkeit an sich ändernde Vorschriften anführen.
Optimierung von Risikoanalysen und Auditprozessen
Durch die Analyse historischer Daten und Echtzeitdaten kann ein LLM risikoreiche Bereiche frühzeitig identifizieren und gezielt darauf hinweisen. Dies unterstützt die Risikobewertung und -überwachung, was zu präziseren Audits und einer effizienteren Allokation von Ressourcen im Auditprozess führt. LLMs können zudem bei der Erstellung von Prüfberichten und der Identifizierung von Lücken im Kontrollsystem helfen. Mögliche Vorteile sind in diesem Kontext sowohl eine präzisere Risikoidentifikation sowie eine effizientere Durchführung von Audits.
Verstärkung des Kontrollumfelds durch prädiktive Analysen
LLMs sind in der Lage, vergangene Muster zu erkennen und darauf basierend prädiktive Modelle zu entwickeln. Dies hilft Unternehmen, potenzielle Schwachstellen im Kontrollsystem frühzeitig zu identifizieren und präventive Maßnahmen zu ergreifen. Beispielsweise könnten LLMs Vorhersagen zu potenziellen Betrugsfällen oder Regelverstößen treffen, bevor diese eintreten. Als Vorteil lässt sich hier die proaktive Risikominderung durch frühzeitige Erkennung und Prävention nennen.
Unterstützung bei der Dokumentation und Wissensverwaltung
LLMs können als Wissensbasis fungieren und die Dokumentation von internen Prozessen und Kontrollen automatisieren. Zudem können sie auf Nachfrage Richtlinien, Verfahren oder frühere Auditergebnisse bereitstellen und so als dynamische Unterstützung für das Personal dienen. Vorteile, die dadurch möglich werden, sind zum einen eine verbesserte Verfügbarkeit von Wissen und Prozessen sowie zum anderen ein geringerer Aufwand bei der Dokumentation und Aktualisierung von Richtlinien.
Echtzeitberichterstattung und Analyse
Ein traditionelles IKS verlässt sich regelmässig auf periodische Berichte, während LLMs in der Lage sind, kontinuierlich zu überwachen und in Echtzeit Berichte zu generieren. Dies ermöglicht es Führungskräften, schneller auf Abweichungen zu reagieren und fundierte Entscheidungen auf Grundlage der aktuellsten Daten zu treffen. Hieraus können sich Vorteile durch eine erhöhte Transparenz und Agilität in der Entscheidungsfindung ergeben:
- Durch Echtzeitberichte können Unregelmässigkeiten wie z.B. verdächtige Transaktionen oder Verstöße gegen interne Richtlinien sofort erkannt werden. Das ermöglicht ein schnelleres Eingreifen und reduziert das Risiko von Schäden.
- Weiterhin erhalten Manager und Kontrollverantwortliche in Echtzeit wichtige Daten und Informationen. Dadurch können sie fundiertere Entscheidungen treffen, die auf aktuellen Fakten und nicht auf verzögerten Berichten basieren.
- Echtzeitanalyse ermöglicht prädiktive Einblicke, die helfen können, potenzielle Schwachstellen oder Betrugsfälle zu identifizieren, bevor sie eskalieren. Das IKS wird somit von einer reaktiven zu einer präventiven IKS Kontrolle weiterentwickelt.
- Anstatt auf periodische Prüfungen angewiesen zu sein, können Kontrollprozesse laufend überwacht werden. Dies spart Ressourcen und reduziert den manuellen Aufwand für Berichte und Analysen.
- Gesetzliche und regulatorische Anforderungen können kontinuierlich überwacht und Verstöße sofort gemeldet werden. Dies trägt zur Einhaltung der Compliance bei und reduziert das Risiko von Sanktionen.
Erkennung von Mustern und Anomalien
LLMs können historische Transaktionsdaten analysieren und innerhalb dieser komplexe Muster sowie seltene Ausreisser identifizieren. Dies ermöglicht es, solche Muster zu entdecken, die auf systematische Fehler oder Betrug hinweisen könnten, was für traditionelle Überwachungsmechanismen oft schwierig ist. Ein hiermit in Verbindung stehender Vorteil liegt vor allem in der verbesserten Fähigkeit zur Erkennung von Betrug und systematischen Schwachstellen.
Fazit
Für ein digitales IKS gilt, dass dieses im Kontext der fortschreitenden Digitalisierung sowie Automatisierung die Ablösung bzw. Optimierung manueller Kontrolltätigkeiten zum Ziel hat (siehe Abbildung). Ob durch digitale Workflows, Risikobewertung oder auch Echtzeitüberwachung, die Digitalisierung befähigt das IKS vor allem durch den Einsatz generativer KI-Technologien dazu, die Wirksamkeit und Wirtschaftlichkeit interner Kontrollen in mehrfacher Hinsicht nicht nur zu optimieren, sondern auch die Kontrollmöglichkeiten zu erweitern. Diese Entwicklung birgt andererseits jedoch auch neue Herausforderungen, insbesondere in den Bereichen Compliance, Corporate Governance und Datenschutz. Zudem sind Unternehmen dazu verpflichtet, nicht nur die technischen Möglichkeiten auszuschöpfen, sondern auch die rechtlichen und ethischen Rahmenbedingungen einzuhalten.
Vor allem LLMs können das IKS eines Unternehmens erheblich stärken. Sie steigern nicht nur die Automatisierung und Effizienz, sondern identifizieren auch Risiken in den Geschäftsprozessen früher und ermöglichen präventive interne Kontrollen durch prädiktive Analysen. Die Fähigkeit zur Echtzeitanalyse, Mustererkennung und intelligenten Unterstützung von Audits und Compliance macht das IKS darüber hinaus nicht nur effektiver, sondern auch flexibler und zukunftsorientierter.
Unternehmen, die auf große Sprachmodelle wie Chat GPT und andere setzen, haben das Potenzial, ihre internen Kontrollprozesse auf ein neues Level zu heben. Dadurch wird eine insgesamt robustere und effizientere Unternehmensführung möglich.
Quellenverzeichnis
COSO (2013). Internal Control – Integrated Framework. Committee of Sponsoring Organizations of the Treadway Commission. www.coso.org/guidance-on-ic
EY. (2022). Die Rolle der Künstlichen Intelligenz im Internen Kontrollsystem: Potenziale und Risiken*. Ernst & Young GmbH.
KPMG (2021). Digitalisierung des IKS: Studie zu Internen Kontrollsystemen Deutscher Unternehmen. Düsseldorf.
PwC. (2021). Digitalisierung und interne Kontrolle: Chancen und Herausforderungen für die Unternehmensführung. PricewaterhouseCoopers.
Rautenstrauch, T./Hunziker (2023). Perspektiven der Internen Kontrolle. WEKA Business Media, Zürich.