FRC-Rahmenwerk zu generativer und agentischer KI in Abschlussprüfungen: Was CFOs und Prüfer jetzt konkret umsetzen müssen

Ausgangslage: Warum das neue FRC-Rahmenwerk ein Wendepunkt ist

Die britische Financial Reporting Council (FRC) hat am 6. April 2026 erstmals ein formales Rahmenwerk für den Einsatz von generativer und agentischer KI in Abschlussprüfungen veröffentlicht. Es richtet sich an Prüfungsunternehmen, die KI-gestützte Plattformen für Risikoanalyse, Dokumentation und Automatisierung bereits im breiten Rollout haben oder kurz davorstehen.

Besonders relevant ist das Timing: Big-Four-Häuser rollen derzeit KI-basierte Audit-Plattformen wie EY Canvas oder KPMG Clara mit integrierten Agentenfunktionen aus, die Prüfungsrisiken identifizieren, Arbeitspapiere vorbefüllen und Fachliteratur kontextbezogen bereitstellen. Das FRC reagiert damit sichtbar auf die zunehmende Produktivitätssteigerung durch KI – und auf die Sorge, dass Qualitäts- und Haftungsfragen ungeregelt bleiben.

Kernelemente des Rahmenwerks

1. Verantwortung bleibt beim Wirtschaftsprüfer

Zentraler Punkt der FRC-Mitteilung: Die Verantwortung für das Prüfungsurteil bleibt zu 100 % beim verantwortlichen Wirtschaftsprüfer. KI-Ausgaben gelten als Prüfungswerkzeug, nicht als eigenständige Prüfungsnachweise.

Praktische Konsequenzen:

• Kein "Blame the box": Fehler in KI-Analysen entlasten den Prüfer nicht.

• Menschliche Plausibilitätsprüfung bleibt Pflicht, auch bei hochautomatisierten Workflows.

• Dokumentationspflicht: Der Prüfer muss zeigen können, wie KI-Ergebnisse geprüft, interpretiert und ggf. verworfen wurden.

2. Drei Fehlerrisiken durch KI im Audit

Das Rahmenwerk skizziert drei systematische Risikokategorien, wie KI eine Prüfung fehlleiten kann:

1. Fehlerhafte Inputs oder Modelle → falsche KI-Outputs (z.B. unvollständige Datenextraktion aus Verträgen, fehlerhafte Trainingsdaten).

2. Fehlinterpretation korrekter Outputs durch das Prüfungsteam (z.B. Überbewertung von KI-Hinweisen ohne ausreichende Evidenz).

3. Unzureichender Umfang der Prüfungsarbeit, wenn Teams sich zu stark auf KI-Automatisierung verlassen und erforderliche Prüfungshandlungen nicht in der gebotenen Tiefe durchführen.

Diese Dreiteilung ist operativ wichtig, weil sie sich direkt in Risiko- und Kontrollmatrizen von Audit-Tools übersetzen lässt.

3. Prinzipienbasierter statt detaillierter Technologievorschriften

Die FRC verzichtet bewusst auf technikspezifische Detailvorgaben und wählt einen prinzipienbasierten Ansatz. Ziel ist, das Rahmenwerk über mehrere Technologiegenerationen hinweg nutzbar zu halten.

Kernprinzipien umfassen:

• Angemessene Kontrolle von Modellen und Daten (Governance, Versionierung, Zugriff, Change-Management).

• Transparenz und Nachvollziehbarkeit der KI-gestützten Prüfungsarbeit.

• Laufende Überwachung der Qualitätswirkung von KI auf Prüfungsurteile.

Implikationen für Prüfungsfirmen

Anpassung von Methodik und Tools

Big-Four- und Mid-Tier-Firmen müssen ihre Prüfungsansätze kurzfristig anpassen:

• Audit-Methodik: Explizite Einbindung von KI-Schritten in Prüfungsstrategien, Risikoanalysen und Programme (z.B. separate "AI-assisted procedures").

• Workpaper-Struktur: Klare Trennung von KI-generierten Inhalten, menschlichen Überprüfungen und finalen Schlussfolgerungen.

• Modell-Governance: Einrichtung oder Ausbau von AI-Governance-Gremien, die Modellfreigaben, Monitoring und Incident-Management verantworten.

Beispiel: Ein KI-Agent identifiziert auffällige Umsatzverläufe und schlägt stichprobenbasierte Detailprüfungen vor. Methodisch muss festgelegt sein, wie das Team diese Vorschläge validiert, erweitert oder verwirft – und wie dies im Arbeitspapier dokumentiert wird.

Schulung und Kompetenzanforderungen

Die FRC macht implizit deutlich, dass Prüfer KI-Kompetenz nachweisen müssen:

• Verstehen von Funktionsweise und Grenzen der eingesetzten Modelle.

• Fähigkeit, KI-Ausgaben kritisch zu hinterfragen.

• Anwendung der Rahmenwerksprinzipien in der täglichen Prüfungspraxis.

Prüfungsgesellschaften werden daher verpflichtende Schulungsprogramme zur "AI Literacy in Audit" etablieren müssen, inkl. Assessment und dokumentierter Kompetenznachweise, ähnlich wie bei IFRS-Updates.

Qualitätsmanagement und Inspektionen

Für internes Quality Management und externe FRC-Inspektionen bedeutet das Rahmenwerk:

• Neue Prüfungsobjekte: AI-Workflows, Prompt-Bibliotheken, Agenten-Skripte, Logging.

• Erweiterte Stichprobenprüfung: Analyse, ob KI-Einsätze systematisch zu anderen Urteilen geführt hätten als ein rein manueller Ansatz.

• Vorbereitung auf Enforcement-Fälle: In Untersuchungen nach Bilanzskandalen werden KI-Workflows und Modellentscheidungen Teil der Beweiskette sein.

Auswirkungen auf geprüfte Unternehmen (CFOs, Audit Committees)

Auch wenn das Rahmenwerk primär an Prüfer adressiert ist, sollten Unternehmen in UK und darüber hinaus reagieren.

1. Erwartbare Veränderungen im Prüfungsprozess

Unternehmen müssen damit rechnen, dass:

• Datenzugriffe granularer und umfangreicher werden (z.B. vollständige Buchungsjournale, Vertragsdatenbanken, E-Mail-Metadaten für Fraud-Risk-Analysen).

• Fragen zu Datenqualität und Systemarchitektur zunehmen, weil KI-Modelle empfindlich auf Inkonsistenzen reagieren.

• Stichprobenlogiken sich verändern (mehr risikobasierte, KI-gestützte Auswahl statt klassischer Zufallsstichproben).

Beispiel: Ein Handelsunternehmen wird gebeten, Transaktionsdaten mit zusätzlichen Attributen (User-ID, Kanal, Rabattlogik) bereitzustellen, damit KI-Agenten Muster in Rabattvergabe und Retouren erkennen können.

2. Anforderungen an interne Kontrollen und Datenqualität

CFOs und Audit Committees sollten prüfen, ob:

• Datenmodelle und Schnittstellen (ERP, Konsolidierung, Planungs-Tools) für KI-taugliche, konsistente Daten sorgen.

• IT General Controls (ITGCs) und Daten-Governance dokumentiert und wirksam sind – denn Schwächen hier erhöhen sowohl Prüfungsrisiko als auch regulatorische Angriffsfläche.

• Eigene KI-Anwendungen im Finance-Bereich (z.B. Forecasting, Anomalieerkennung) sauber dokumentiert sind; sie werden zunehmend Teil der Prüfungslandschaft.

3. Governance-Fragen im Prüfungsausschuss

Audit Committees in UK- und EU-Unternehmen sollten kurzfristig:

• Einen Agenda-Punkt „Use of AI in External Audit“ aufnehmen.

• Den Abschlussprüfer um eine strukturierte Darstellung der KI-Einsatzszenarien bitten (Use Cases, Kontrollen, Auswirkungen auf Materiality und Risikoanalyse).

• Prüfen, wie das FRC-Rahmenwerk mit eigenen AI-Governance-Richtlinien und dem UK Corporate Governance Code bzw. entsprechenden EU-Regelwerken zusammenpasst.

Europäische und globale Signalwirkung

Das FRC-Rahmenwerk dürfte Vorbildcharakter für andere Aufsichtsbehörden haben:

• EU: Nationale Prüferaufsichten und CEAOB werden das Signal aus London im Kontext von EU AI Act, Corporate Sustainability Reporting Directive (CSRD) und neuen ISA-Anpassungen auswerten.

• USA: Die PCAOB arbeitet bereits an Ansätzen für KI in der Prüfung; das FRC-Modell könnte als Referenz für einen eigenständigeren, prinzipienbasierten Weg dienen.

Für global tätige Konzerne bedeutet das: KI-gestützte Audit- und Finance-Funktionen werden sich zwar schneller etablieren, stehen aber unter deutlich strengeren Compliance- und Dokumentationsanforderungen.

Konkrete To-dos für die nächsten 6–12 Monate

Für Prüfungsunternehmen

• Gap-Analyse: Abgleich bestehender KI-Nutzungen im Audit mit den drei FRC-Risikokategorien und Prinzipien.

• Methodik-Update: Integration von KI-spezifischen Schritten in Prüfungsprogramme, inklusive eindeutiger Verantwortlichkeiten.

• Governance-Struktur: Einrichtung eines AI-Governance-Boards mit klaren Mandaten für Modellfreigabe, Monitoring und Incident-Response.

• Training & Zertifizierung: Aufbau verpflichtender Schulungen für Partner und Staff zu KI-Einsatz, Grenzen und FRC-Anforderungen.

Für Unternehmen und CFOs

• Dialog mit dem Prüfer: Klären, welche KI-Tools in der eigenen Prüfung eingesetzt werden und welche zusätzlichen Datenanforderungen entstehen.

• Daten- und System-Review: Sicherstellen, dass wesentliche Finanz- und Non-Financial-Daten KI-tauglich strukturiert, qualitätsgesichert und revisionssicher sind.

• Audit Committee Briefing: Vorsitzende des Prüfungsausschusses sollten ein kurzes Briefing zum FRC-Rahmenwerk und dessen Relevanz für das eigene Unternehmen einholen.

Fazit

Mit dem neuen Rahmenwerk setzt die FRC erstmals einen regulatorischen Standard für generative und agentische KI in der Abschlussprüfung. Die Botschaft ist klar: KI darf Produktivität und Prüfungsqualität erhöhen, ändert aber nichts an der persönlichen Verantwortung des Wirtschaftsprüfers. Für Prüfungsfirmen wie für geprüfte Unternehmen ist jetzt der richtige Zeitpunkt, KI-gestützte Workflows auf Prüfungsfestigkeit, Governance und Dokumentation hin zu überprüfen und gezielt nachzuschärfen.

Häufig gestellte Fragen (FAQ)

Was ist das FRC-Rahmenwerk zu generativer und agentischer KI in Abschlussprüfungen?

Das FRC-Rahmenwerk ist eine am 6. April 2026 veröffentlichte Leitlinie der britischen Financial Reporting Council zum Einsatz von generativer und agentischer KI in Abschlussprüfungen. Es definiert Grundsätze, wie KI-Tools in Audit-Prozessen genutzt, gesteuert und dokumentiert werden sollen, ohne die Verantwortung des Wirtschaftsprüfers zu verwässern.

Wie wirkt sich das neue FRC-Rahmenwerk konkret auf Wirtschaftsprüfer und Prüfungsfirmen aus?

Prüfungsfirmen müssen ihre Audit-Methodik, Workpaper-Strukturen und Governance-Prozesse anpassen und KI-Schritte explizit in Prüfungsprogramme integrieren. Außerdem sind Schulungen zur KI-Kompetenz, erweiterte Qualitätsmanagement-Prüfungen und eine klare Modell-Governance erforderlich, um den FRC-Anforderungen gerecht zu werden.

Welche Verantwortung tragen Wirtschaftsprüfer beim Einsatz von KI laut FRC?

Die Verantwortung für das Prüfungsurteil bleibt vollständig beim verantwortlichen Wirtschaftsprüfer, auch wenn KI-Tools verwendet werden. KI-Outputs gelten nur als Hilfsmittel und müssen durch menschliche Plausibilitätsprüfung, eigene Prüfungshandlungen und eine nachvollziehbare Dokumentation abgesichert werden.

Welche Risiken sieht das FRC beim Einsatz von KI in der Abschlussprüfung?

Das Rahmenwerk nennt drei zentrale Fehlerrisiken: fehlerhafte Inputs oder Modelle, die zu falschen KI-Outputs führen, Fehlinterpretationen eigentlich korrekter KI-Analysen durch das Team und einen zu geringen Umfang der Prüfungsarbeit durch übermäßiges Vertrauen in Automatisierung. Diese Risiken sollen in Risiko- und Kontrollmatrizen der Audit-Tools systematisch adressiert werden.

Was bedeutet das FRC-Rahmenwerk für CFOs und Audit Committees geprüfter Unternehmen?

CFOs und Audit Committees müssen mit granulareren Datenanforderungen, intensiveren Fragen zur Datenqualität und einer veränderten Stichprobenlogik rechnen. Sie sollten zudem ihre internen Kontrollen, Daten-Governance und eigenen KI-Anwendungen im Finanzbereich überprüfen und das Thema „Use of AI in External Audit“ aktiv auf die Agenda des Prüfungsausschusses setzen.

Worin unterscheidet sich der prinzipienbasierte FRC-Ansatz von detaillierten Technologievorschriften?

Statt konkrete Technologien oder Tools zu regulieren, formuliert das FRC übergreifende Prinzipien wie angemessene Modell- und Datengovernance, Transparenz und laufende Qualitätsüberwachung. Dadurch bleibt das Rahmenwerk über mehrere KI-Generationen hinweg anwendbar und gibt Unternehmen und Prüfern zugleich klare Anforderungen für Governance und Dokumentation vor.

Welche Sofortmaßnahmen sollten Prüfungsunternehmen und Unternehmen in den nächsten 6–12 Monaten ergreifen?

Prüfungsunternehmen sollten eine Gap-Analyse durchführen, ihre Methodik um KI-spezifische Schritte ergänzen, eine AI-Governance-Struktur aufbauen und verpflichtende KI-Trainings einführen. Unternehmen und CFOs sollten den Dialog mit dem Prüfer zum KI-Einsatz suchen, Daten- und Systemlandschaft auf KI-Tauglichkeit prüfen und das Audit Committee gezielt zum FRC-Rahmenwerk briefen.