Zum Hauptinhalt springen
Zurück zum Pillar

WPK-Aufsicht · ISA 220 / ISA 230 / IDW PS 261

AI-Act-Dokumentation WPK-konform für Wirtschaftsprüfer

Die WPK kann jederzeit prüfen — und ISA 230 verlangt unabhängig davon eine vollständige Prüfungsdokumentation. Fünf Module decken beides ab.

Warum die KI-Dokumentation für WP-Praxen doppelt zählt

Eine Wirtschaftsprüfungspraxis, die Audit-Analytics oder generative KI einsetzt, ist Betreiber im Sinne von Art. 3 Nr. 4 KI-VO. Damit greift seit dem 02.02.2025 die Kompetenzpflicht aus Art. 4. Anders als in anderen Berufen kommt hier eine zweite, voneinander unabhängige Dokumentationsebene hinzu: die berufsständischen Prüfungsstandards. ISA 230 verlangt eine vollständige Prüfungsdokumentation, ISA 220 die Qualitätssicherung auf Auftragsebene, IDW PS 261 n.F. die Dokumentation der Risikobeurteilung. Wer KI im Prüfungsprozess nutzt, muss beides bedienen — die KI-VO-Betreiberpflichten und die ISA-Dokumentation.

Der entscheidende Grundsatz: KI ersetzt nicht die professionelle Skepsis. ISA 200.13 macht die kritische Grundhaltung zu einer persönlichen Eigenschaft des Prüfers, die nicht an ein Tool delegierbar ist. Audit-Analytics wie MindBridge oder CaseWare IDEA dürfen Anomalien aufzeigen — die Bewertung und das Prüfungsurteil bleiben menschlich. Im Streitfall, etwa bei einer Insolvenz des geprüften Unternehmens oder einer Prüfungsklage, ist eine rein KI-gestützte Begründung berufsrechtlich angreifbar. Deshalb gehört in jedes Arbeitspapier der dokumentierte Nachweis, dass der KI-Output durch einen verantwortlichen Prüfer inhaltlich geprüft und gegebenenfalls ergänzt wurde.

Hinzu kommt das Mandantengeheimnis: KI-Systeme, die Buchungs- oder Prüfungsdaten verarbeiten, berühren § 203 StGB. Ohne dokumentierten Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und — bei US-Cloud-Anbietern — ohne Vereinbarung zur Wahrung des Berufsgeheimnisses nach § 203 Abs. 4 StGB ist der Einsatz angreifbar. Die folgenden fünf Module zeigen, welche Bausteine die Audit-Mappe enthalten muss; die anschließenden sechs Schritte beschreiben die Reihenfolge der Umsetzung.

5-Module-Struktur einer Audit-Mappe

1

Modul 1: KI-Verzeichnis

Inventar aller eingesetzten KI-Systeme.

  • Bezeichnung + Anbieter + Version
  • Zweck + Use-Case
  • Datenklassen (Mandanten-Buchungsdaten / Prüfungsdaten)
  • Risikoklasse nach KI-VO
  • AVV-/GVV-Status
  • Owner in der Praxis
  • Schulungs-Stand
  • Review-Datum
2

Modul 2: DSGVO-VVT-Erweiterung

VVT Art. 30 ergänzt um KI.

  • Verarbeitung mit Zweck + Empfänger + Löschfrist
  • Verweis auf KI-Verzeichnis
  • Rechtsgrundlage
  • Drittland-Transfer
  • TOM-Verweis
3

Modul 3: Schulungs-Nachweise

Art. 4 KI-VO + WPO § 57 CPD-Doku.

  • Curriculum + Lernziele + ISA-Bezug
  • Teilnehmerliste mit Unterschrift
  • Datum + Dauer
  • Prüfungsergebnis
  • Anbieter / Trainer
  • CPD-Stundenanrechnung
4

Modul 4: AVV-/GVV-Sammlung

AVV nach Art. 28 + GVV bei US-KI.

  • AVV mit jedem KI-Anbieter
  • GVV nach § 203 Abs. 4 StGB
  • Subprozessoren-Liste
  • SCCs bei Drittland-Transfer
5

Modul 5: ISA-230-Prüfungs-Logbuch

Pro Prüfungsmandat KI-Einsatz dokumentieren.

  • Tool + Version + Prüfungsbereich
  • Inputdaten + Output
  • Manuelle Prüfung + Prüfer-Bestätigung
  • Anomalien + Nachverfolgung
  • Verweis im Arbeitspapier

In 6 Schritten zur prüfungsfesten Audit-Mappe

Die Reihenfolge zählt: Erst Inventur und Risiko, dann Verträge und Schulung, dann das mandatsbezogene ISA-230-Logbuch — so dokumentieren Sie keine Systeme, deren Rechtsgrundlage noch offen ist.

  1. 1

    KI-Inventur über alle Prüfungsteams

    Erfassen Sie jedes KI-System der Praxis — von Audit-Analytics wie MindBridge, AppZen und CaseWare IDEA über DATEV Audit Cloud bis ChatGPT. Pro System: Anbieter, Version, Prüfungsbereich, beteiligte Prüfer. Diese Liste ist die Basis des KI-Verzeichnisses.

  2. 2

    Datenklassen und Risiko zuordnen

    Markieren Sie pro System, ob Mandanten-Buchungsdaten, Prüfungsdaten oder interne Daten verarbeitet werden, und ordnen Sie die KI-VO-Risikoklasse zu. Analytics-Tools mit Einfluss auf das Prüfungsurteil sind besonders sorgfältig zu behandeln.

  3. 3

    AVV und GVV einholen

    Schließen Sie für jedes System einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ab; bei US-Cloud-Tools zusätzlich eine Vereinbarung zur Wahrung des Berufsgeheimnisses nach § 203 Abs. 4 StGB. Ohne diese Verträge ist der Einsatz mit Mandantendaten berufsrechtlich angreifbar.

  4. 4

    Schulung CPD-konform dokumentieren

    Halten Sie die Art-4-Schulung mit Teilnehmerliste, Datum, Dauer, Curriculum und Prüfungsergebnis fest. Die Anrechnung auf die WPO-§-57-Pflichtfortbildung gelingt, wenn das Modul den ISA-Bezug und die eingesetzten Audit-Tools konkret abbildet.

  5. 5

    ISA-230-Prüfungs-Logbuch je Mandat führen

    Dokumentieren Sie pro Prüfungsmandat, welches KI-Tool mit welchen Inputdaten eingesetzt wurde, welcher Output entstand und welche manuelle Prüfung durch den verantwortlichen Prüfer erfolgte. Die professionelle Skepsis nach ISA 200 bleibt persönlich und ist nicht an die KI delegierbar.

  6. 6

    Audit-Mappe konsolidieren

    Fassen Sie alle fünf Module in einer zentralen, jederzeit vorlegbaren Audit-Mappe zusammen — so sind die Nachweise bei einer WPK-Anfrage oder einer Prüfungsklage sofort auffindbar und decken zugleich DSGVO- und KI-VO-Aufsicht ab.

FAQ

Wie integriere ich das KI-Verzeichnis mit ISA 230?

Das KI-Verzeichnis ist ein Praxis-Inventar (alle eingesetzten Tools, Owner, Risikoklassen). ISA 230 verlangt zusätzlich die Doku der konkreten Prüfungshandlung pro Mandat. Empfehlung: KI-Verzeichnis als Master-Liste, pro Prüfungsmandat ein Tool-Einsatz-Logbuch mit Bezug auf die Master-Liste.

Wie tief muss die Doku sein?

Pro KI-System: Bezeichnung, Anbieter, Version, Zweck, Risikoklasse, Datenklassen, AVV-/GVV-Status, Schulungs-Stand, Owner, Review-Datum. Pro Prüfung: Tool, Inputdaten, Output, Prüfer-Bestätigung, Datum (ISA 230).

Wer prüft im Ernstfall?

WPK (Aufsicht), Landesdatenschutzbehörde (DSGVO), Marktüberwachungs-Behörde (KI-VO). Bei Prüfungsklagen zusätzlich Zivilgericht. Eine konsolidierte Audit-Mappe deckt alle Aufsichten ab.

Wie oft aktualisieren?

KI-Verzeichnis: bei Tool-Update, Anbieter-Wechsel, Owner-Wechsel — mindestens jährlich. Pro Prüfungsmandat: Tool-Einsatz-Logbuch ist Pflichtteil der Prüfungsdokumentation (ISA 230 unmittelbar nach Prüfungsabschluss).

Hinweis zum Leistungsumfang

Das AI-Act-Compliance-Kit ist eine technisch-organisatorische Hilfestellung zur Umsetzung der KI-Kompetenzpflicht nach Art. 4 der EU-Verordnung 2024/1689 (KI-VO) und ersetzt keine Rechtsberatung. Vorlagen, Schulungsinhalte und Dokumentationen sind redaktionell sorgfältig erstellt, können aber den Einzelfall nicht ersetzen. Für eine rechtsverbindliche Bewertung Ihrer konkreten Situation empfehlen wir die Hinzuziehung einer Rechtsanwältin oder eines Rechtsanwalts mit Schwerpunkt IT- und Versicherungsrecht. Stand der Inhalte: Mai 2026, Quelle: Verordnung (EU) 2024/1689 (KI-VO).

AI-Act-Check starten

Gleiches Thema, andere Branche

Dokumentation & Audit-Mappe — auch für andere Berufe

Die KI-VO-Logik ist über Berufsgruppen hinweg vergleichbar, nur Aufsicht und Berufsrecht unterscheiden sich. Diese Seiten gehen das Thema für die jeweilige Branche durch:

BaFin · § 34d GewO, VAG

Versicherungsmakler

Zur Detailseite

StBK · § 57, § 76 StBerG

Steuerberater

Zur Detailseite

RAK · § 43e, § 73 BRAO

Rechtsanwälte

Zur Detailseite

Zurück zum Pillar: AI Act für WirtschaftsprüferKI-VO branchenagnostisch: zum AI-Act-Hub