Feedback

Gepostet am 21. Juli 2025 von  Nicolas Luderer; Project Manager bei Severn Consultancy 🕐 6 min Lesezeit

KI als IKT-Asset unter DORA – Wie Finanzinstitute bis Ende 2025 prüfungsfest werden

Die Zeit drängt: Bis Ende 2025 müssen Finanzinstitute in der Lage sein, prüfungsrelevante Evidenzen zum Einsatz von Künstlicher Intelligenz (KI) vorzulegen. Führende Wirtschaftsprüfungsgesellschaften haben angekündigt, KI bereits 2025 im Rahmen der Jahresabschlussprüfung als IKT-Asset unter DORA zu bewerten und zu prüfen. Damit verändert sich der regulatorische Erwartungshorizont grundlegend. Insbesondere vorbereitende Maßnahmen im Kontext des AI Act, darunter die Bestandsaufnahme eingesetzter KI-Systeme, deren Risikoklassifizierung sowie der Aufbau von KI-Kompetenz, werden bis Ende 2025 unmittelbar prüfungsrelevant. Die Herausforderung für Finanzinstitute besteht dabei nicht allein in der konkreten Umsetzung der Anforderungen des AI Act, inklusive damit einhergehender technischer und organisatorischer Maßnahmen, sondern insbesondere in der Herstellung und Dokumentation von prüfungsfesten Evidenzen. Welche KI-Systeme (inkl. webbasierter Services) sind im Einsatz? Wie wurden diese klassifiziert? Welche Governance-Strukturen wurden etabliert? Wie wird KI-Kompetenz auf allen Ebenen des Unternehmens sichergestellt und nachgewiesen?

In diesem Beitrag zeigen wir auf, welche Maßnahmen Finanzinstitute bis Ende 2025 umsetzen müssen, um den regulatorischen und prüferischen Anforderungen im kombinierten Kontext von AI Act und DORA zu entsprechen. Der Fokus liegt dabei auf der Herstellung belastbarer Evidenzen für den regelkonformen Einsatz von KI als Grundlage einer prüfungssicheren KI-Governance unter DORA.

Rechtsgrundlage: AI Act und DORA im Zusammenspiel

Die regulatorische Behandlung von KI-Systemen muss im Zusammenspiel zweier Rechtsrahmen erfolgen: Dem European AI Act und der DORA-Verordnung. Der AI Act legt die inhaltlichen Anforderungen an den Einsatz von KI-Systemen, besonders im Hinblick auf die Risikoklassifizierung, Transparenz, Kontrollen und Kompetenz, fest. DORA regelt die organisatorische und prüferische Einbettung digitaler Assets in den IKT-Risikomanagementrahmen von Finanzinstituten. Die Klassifizierung von KI-Anwendungen als IKT-Asset gemäß DORA hat zur Folge, dass sämtliche zum Einsatz kommenden KI-Systeme in das Risikomanagement, die IKT-Governance sowie in das interne Kontrollsystem (IKS) mit entsprechender Dokumentation, Verantwortungszuordnung und Prüfbarkeit integriert werden müssen. Zugleich ergeben sich aus dem AI Act eine Reihe weiterer Pflichten, deren Einhaltung objektiv nachgewiesen werden muss. Dazu gehören insbesondere eine systematische Bestandsaufnahme im Hinblick auf Vollständigkeit der Erhebung und Risikoklassifizierung aller eingesetzten KI-Systeme sowie der Nachweis darüber, dass keine verbotenen KI-Praktiken gemäß Artikel 5 AI Act eingesetzt werden.

Neben der DORA-Verordnung, die den Governance-Rahmen zur Integration von KI in die Organisation vorschreibt, regelt der bestehende aufsichtsrechtliche Rahmen auf nationaler Ebene, vor allem § 25a KWG in Verbindung mit den Mindestanforderungen an das Risikomanagement (MaRisk), die Anforderungen an eine ordnungsgemäße Geschäftsorganisation. Danach sind Institute verpflichtet, sämtliche wesentlichen Risiken aus ihren Geschäftsaktivitäten zu identifizieren, zu bewerten, zu steuern und zu überwachen. Der Einsatz von KI, insbesondere wenn er wesentliche und kritisch/wichtige Geschäftsprozesse, die Kundeninteraktion oder (teil-)automatisierte Entscheidungen betrifft, unterliegt somit dem allgemeinen Organisations- und Kontrollregime und ist in das IKS einzubetten. Mit der vollständigen Anwendung der DORA-Verordnung am 17. Januar 2025 und dem schrittweisen Inkrafttreten des AI Act seit Februar 2025 ist eine vollständige und prüfbare Verankerung von KI-Systemen in die institutsweite Governance, das IKT-Risikomanagement sowie die interne und externe Berichterstattung sicherzustellen. Die Erwartungshaltung der Aufsicht und der Abschlussprüfer richtet sich hierbei auf die dokumentierte Nachvollziehbarkeit, Risikosteuerung und Überwachung aller eingesetzten KI-Systeme, einschließlich solcher, die ausgelagert oder als Komponenten in Drittanwendungen bei eingesetzten Dienstleistern enthalten sind.

Unsere Empfehlung: Schaffung prüfungsrelevanter Evidenzen bis zur Jahresabschlussprüfung 2025

Vor dem Hintergrund der angekündigten Prüfung von KI-Systemen im Rahmen der Jahresabschlussprüfung 2025 unter DORA besteht für Finanzinstitute akuter Handlungsbedarf. Wir empfehlen im Rahmen eines strukturierten Umsetzungsprojekts systematisch die benötigten prüfungsrelevanten Evidenzen zu schaffen. Dabei sollten folgende Handlungsfelder abgedeckt werden:

  1. Strategische Verankerung und Governance: 
    Schaffen eines organisatorischen Rahmens (z. B. Projekt) zur Erarbeitung einer ersten KI-Strategie sowie einer KI-Richtlinie zur übergeordneten Steuerung und Umsetzung von nachgelagerten regulatorischen Anforderungen.
     
  2. Kompetenzaufbau und Schulung
    Entwicklung eines rollenbasierten Schulungskonzeptes und Durchführung verpflichtender Schulungen für Leitungsorgane, Schlüsselfunktionen und Mitarbeitende.
     
  3. Transparenz und Risikoidentifikation
    Durchführung einer systematischen Bestandsaufnahme aller eingesetzten KI-Systeme, einschließlich ausgelagerter Komponenten und Drittsoftware in Verbindung mit der Risikoklassifizierung gemäß AI Act.
     
  4. Einbindung in den IKT-Risikomanagementrahmen
    Integration identifizierter KI-Systeme in den IKT-Risikomanagementrahmen gemäß DORA.
     
  5. Nachweisfähigkeit und Prüfungsvorbereitung
    Aufbereitung prüfungsrelevanter Evidenzen für die Jahresabschlussprüfung 2025. Dazu zählen besonders der Nachweis über tatsächlich genutzte KI-Anwendungen und Funktionalitäten, durchgeführte Risikoklassifizierungen sowie für aufgebaute KI-Kompetenz und die strategische Verortung von KI innerhalb des Instituts.

Ausblick: KI-Governance und Verantwortlichkeiten im Fokus

Im nächsten Beitrag widmen wir uns der Frage, wie Finanzinstitute ihre bestehenden und unter DORA neu geschaffenen Strukturen sinnvoll und effizient nutzen können, um den Anforderungen an eine KI-Governance zu entsprechen. Dabei legen wir den Fokus darauf, wie die vorhandenen Prozesse und Mechanismen des IKT-Risikomanagements gezielt um KI-Spezifika erweitert werden können, um eine nachhaltige und prüfungssichere Integration von KI im der der institutsweiten Governance sicherzustellen.

Unser Angebot an Sie

Wir unterstützen Sie bei der strukturierten und prüfungsfesten Umsetzung der regulatorischen Anforderungen an den Einsatz von KI entlang der Vorgaben des AI Act und der DORA-Verordnung. Unser Leistungsportfolio umfasst u.a.:

  • Konzeption und Umsetzung einer KI-Bestandsaufnahme und Risikoklassifizierungen gemäß AI Act
  • Entwicklung rollenbasierter Schulungskonzepte und Durchführung zielgruppenspezifischer Trainings
  • Erstellung institutsindividueller Richtlinien und Verfahrensbeschreibungen
  • Beratung zur Integration von KI in bestehende Rahmenwerke gemäß DORA, DSGVO und MaRisk
  • Unterstützung bei der Erstellung prüfungsrelevanter Evidenzen für die Jahresabschlussprüfung 2025

Gemeinsam ins Gespräch kommen – Kontaktformular



kostenlos anfordern: Whitepaper- KI in der Finanzindustrie



KI in der Finanzbranche


 KI als IKT-Asset unter DORA – Wie Finanzinstitute bis Ende 2025 prüfungsfest werden

 KI-Risikoklassifizierung: Der nächste Schritt zur sicheren KI-Nutzung

 KI-Bestandsaufnahme – Die Voraussetzung für wirksame Compliance

 Änderung in der Wertpapierabwicklung - Kommission bereitet Umstellung auf T + 1 vor

 Aufbau von KI-Kompetenz – Eine gesetzliche Pflicht für Finanzinstitute

Passwort zurücksetzen

Bitte geben Sie Ihre E-Mail-Adresse an. Wir senden Ihnen eine E-Mail zum Zurücksetzen Ihres Passwortes.


Abbrechen

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.