KI in Finance:
Governance-Handbuch
für den CFO

Compliance, Wirtschaftsprüfer und Decision Layer
vor August 2026

Autor: Bert Gogolin, Geschäftsführer
Herausgeber: Gosign GmbH, Hamburg
Stand: März 2026
Umfang: 28 Seiten

Inhalt

1 Warum der CFO AI-Governance in Finance führen muss

2 Drei Arten von Finanzentscheidungen: Mensch, Regelwerk, KI

3 EU AI Act: Anforderungen für den Finanzbereich

4 Wirtschaftsprüfer als Governance-Partner

5 4 Finance-Prozesse im Decision Layer

6 Finance Readiness-Assessment

7 Nächste Schritte

Umsatzverlust durch Betrug weltweit

ACFE 2024

42%

Rechnungen noch manuell verarbeitet

IFM 2024

88-95%

Automatisierungsrate im Decision Layer

Gosign Projekte

1 - Warum der CFO AI-Governance in Finance führen muss

KI im Finanzbereich ist kein IT-Projekt. Es ist ein Governance-Projekt mit technischer Komponente.

Wer definiert, ab welchem Betrag eine Rechnung automatisch freigegeben wird? Wer legt Schwellenwerte für Betrugsalarme fest? Wer entscheidet, ob ein KI-Agent Buchungssätze ohne menschliche Prüfung verarbeiten darf?

Die Antwort ist nicht der CIO. Es ist der CFO.

Laut ISACA (2024) haben 73% der Organisationen kein formales KI-Governance-Framework. Im Finanzbereich bedeutet das: kritische Prozesse wie Kreditorenbuchhaltung, Monatsabschluss und Betrugserkennung laufen ohne definierte Kontrollstrukturen.

Das Institute of Finance & Management (2024) berichtet, dass 42% aller Rechnungen in der Kreditorenbuchhaltung noch manuell verarbeitet werden. Die Automatisierungswelle kommt. Die Frage ist nicht ob, sondern unter wessen Governance.

Drei Governance-Ebenen

Ebene	Verantwortung	Wer
Entscheidungsmatrix	Definiert, was der Agent darf und was beim Menschen bleibt	Finance + Legal
Audit-Trail	Jede Aktion protokolliert, versioniert, reproduzierbar	IT (technisch), Finance (Prüfung)
Rollenkonzept	Wer überwacht, wer gibt frei, wer eskaliert	Finance
Prüfer-Schnittstelle	Dokumentation für WP und interne Revision	Finance + WP
Eskalationspfad	Was passiert bei Unsicherheit oder niedriger Konfidenz	Finance + IT

Checkliste

Bevor der erste Agent in der Finanzabteilung live geht:

Welche KI wird bereits im Finanzbereich eingesetzt? (Auch informell)
Wer in Finance ist verantwortlich für KI-Governance?
Ist der Wirtschaftsprüfer über geplante KI-Einsätze informiert?
Gibt es definierte Schwellenwerte und Eskalationspfade?

Laut Gartner (2024) scheitern 30-40% aller KI-Projekte an fehlender Governance-Struktur. Nicht an der Technologie. Nicht am Budget. An der Organisation.

2 - Drei Arten von Finanzentscheidungen

Jeder Finance-Prozess besteht aus Hunderten von Micro-Entscheidungen. Das Decision-Framework klassifiziert jede einzelne.

Typ	Entscheidet	Beispiele
Mensch (H)	Controller oder CFO	Kreditentscheidung >100k, Wertberichtigung, Bilanzpolitik
Regelwerk (R)	HGB, IFRS, Steuergesetz	USt-Berechnung, Kontierung, Zahlungsfristen, Abschreibungen
KI-geeignet (A)	Agent mit Confidence-Routing	Rechnungsklassifikation, Anomalie-Erkennung, Duplikat-Prüfung

Die goldene Regel für Finance

KI klassifiziert, sie berechnet nicht. Ein Agent erkennt, dass eine Rechnung eine Dienstleistungsrechnung ist. Aber den Skontoabzug berechnet das Regelwerk.

Regelwerke berechnen, sie entscheiden nicht. Das Regelwerk wendet den Umsatzsteuersatz an. Aber ob eine Wertberichtigung vorgenommen wird, entscheidet der Mensch.

Menschen entscheiden, wo Recht oder Wesentlichkeit es verlangt. Nicht weil sie es besser können - sondern weil HGB, IFRS und die Prüfungspflicht es erfordern.

Agent-Readiness-Score für Finance

Score = (R + A) / Gesamtzahl x 100

Finance-Prozess	Score	Bedeutung
Kreditorenbuchhaltung (AP)	85-95%	Hoch automatisierbar (Regelwerk-dominiert)
Reisekostenabrechnung	80-90%	Hoch automatisierbar
Financial Close	65-75%	Gut automatisierbar (viele Prüfschritte)
Betrugserkennung	55-70%	Teilweise automatisierbar (viel Human-in-the-Loop)
Kreditentscheidungen	30-45%	Primär menschlich (Hochrisiko)

Je niedriger der Score, desto mehr Human-in-the-Loop. Das ist kein Defizit - es ist Design.

3 - EU AI Act: Anforderungen für Finance

Der EU AI Act stuft KI-Systeme für die Kreditwürdigkeitsprüfung als Hochrisiko ein (Annex III Nr. 5b).

KI-Systeme, die bestimmungsgemäß zur Bewertung der Kreditwürdigkeit natürlicher Personen oder zur Festsetzung ihres Kreditpunktewerts verwendet werden sollen, mit Ausnahme von KI-Systemen, die zum Zweck der Aufdeckung von Finanzbetrug eingesetzt werden.

Ab August 2026 gelten sechs Pflichtanforderungen (vorbehaltlich Digital Omnibus Package - mögliche Verschiebung auf Dezember 2027):

Anforderung	Art.	Decision Layer
Risikomanagement	9	Confidence Routing - Konfidenzwert pro Entscheidung, Schwellenwert konfigurierbar
Datengovernance	10	Versionierte Regelwerke - jede Änderung nachvollziehbar
Aufzeichnungspflichten	12	Audit Trail - Input, Regel, Konfidenz, Ergebnis protokolliert
Transparenz	13	Decision Layer-Dokumentation - jede Buchung nachvollziehbar
Menschliche Aufsicht	14	Erzwungener Human-in-the-Loop - architektonisch, nicht optional
Genauigkeit/Robustheit	15	Anomalie-Monitoring - Integration mit IKS

Wichtige Abgrenzung

Nicht jede KI im Finanzbereich ist Hochrisiko. Die Kreditorenbuchhaltung (Rechnungsverarbeitung) fällt nicht unter Annex III. Aber sobald ein KI-System Kreditentscheidungen über natürliche Personen beeinflusst, greifen die Hochrisiko-Anforderungen. Betrugserkennung bei juristischen Personen ist explizit ausgenommen.

Compliance-Checkliste

Risikomanagement dokumentiert (Art. 9)
Datengovernance implementiert (Art. 10)
Audit Trail aktiv (Art. 12)
Transparenz-Dokumentation vorhanden (Art. 13)
Human-in-the-Loop architektonisch erzwungen (Art. 14)
Anomalie-Monitoring eingerichtet (Art. 15)

Sanktionen: Bis zu 15 Mio. EUR oder 3% des weltweiten Jahresumsatzes.

4 - Wirtschaftsprüfer als Governance-Partner

Wirtschaftsprüfer beanstanden nicht KI. Sie beanstanden schlecht dokumentierte Systeme.

Laut PwC (2024) sehen 78% der Wirtschaftsprüfer KI als Chance, Prüfungsprozesse zu verbessern - vorausgesetzt, die Dokumentation stimmt. EY (2024) berichtet, dass Unternehmen mit durchgängigen Audit Trails die Abschlussprüfung 3-4 Wochen schneller abschließen.

Prüfungsrelevante Anforderungen (IDW PS 860)

Prüfungsbereich	Anforderung	Decision Layer
Vollständigkeit	Jede Transaktion erfasst	Lückenlose Protokollierung
Richtigkeit	Beträge und Kontierungen korrekt	Versionierte Regelwerke mit Testprotokollen
Zeitgerechtheit	Erfassung in richtiger Periode	Zeitstempel in jedem Audit-Log-Eintrag
Nachvollziehbarkeit	Vom Beleg zur Buchung und zurück	Belegverknüpfung im Decision Layer
Genehmigung	Autorisierte Freigabe	Rollenkonzept mit Freigabekette

Das Auditor Portal

Im Decision Layer ist der Wirtschaftsprüfer kein externer Beobachter, der am Jahresende Stichproben zieht. Das Auditor Portal gibt dem Prüfer kontinuierlichen Zugang zu:

Welche Entscheidungen automatisiert wurden (vollautomatisch vs. Human-in-the-Loop)
Welche Regeln pro Buchung angewandt wurden
Wie oft eskaliert wurde und warum
Statistische Auswertungen (Fehlerquoten, Anomalie-Reports)
Konfigurationshistorie (welcher Schwellenwert galt wann)

AI Literacy-Pflicht (seit Februar 2025)

Art. 4 EU AI Act: Alle Personen, die KI-Systeme betreiben oder beaufsichtigen, müssen über ausreichende KI-Kompetenz verfügen. Laut BCG (2024): 12-22% des KI-Budgets für Schulung einplanen.

Rolle	Schulungsinhalt	Auffrischung
Buchhalter/Controller	Systemverständnis, Eskalation, Ergebnisinterpretation	Jährlich
Wirtschaftsprüfer	Audit-Funktionen, Prüfungsansatz für KI	Jährlich
CFO/Finance-Leitung	Governance-Framework, Compliance, Strategie	Halbjährlich
IT-Operations	Technischer Betrieb, Monitoring, Incident Response	Quartalsweise

5 - 4 Finance-Prozesse im Decision Layer

Kreditorenbuchhaltung (AP) - Rechnungsverarbeitung automatisieren

Laut Institute of Finance & Management (2024) werden 42% aller Eingangsrechnungen noch manuell verarbeitet. Durchschnittliche Kosten: 8-12 EUR pro Rechnung (Ardent Partners 2024).

Entscheidung	Typ	Beispiel
Rechnungsklassifikation	KI	Material, Dienstleistung, Investition
Kreditor-Zuordnung	KI + Regelwerk	Lieferant erkennen, Stammdatenabgleich
USt-Berechnung	Regelwerk	19%, 7%, Reverse Charge, innergemeinschaftlich
Kontierung	Regelwerk	Kostenstelle, Sachkonto, Projekt
Duplikat-Prüfung	KI	Rechnungsnummer, Betrag, Datum
Drei-Wege-Abgleich	Regelwerk	Bestellung, Wareneingang, Rechnung
Freigabe >10k	Mensch	Abteilungsleiter bestätigt
Zahlungsvorschlag	Regelwerk	Skonto-optimiert, Liquiditätsplanung

Ergebnis: 88-95% vollautomatisch. Kosten pro Rechnung von 8-12 EUR auf 1-2 EUR. Durchlaufzeit von 5-7 auf 1-2 Tage.

Reisekostenabrechnung - 40-120 Micro-Entscheidungen

Laut GBTA Foundation: 58 USD pro Fall, 19% Fehlerquote, 52 USD pro Korrektur. Dazu: Reisekosten sind der häufigste Prüfungsbereich bei Betriebsprüfungen.

Entscheidung	Typ	Beispiel
Belegklassifikation	KI	Hotel, Bewirtung, Taxi, Flug, Bahn
Verpflegungspauschale	Regelwerk	Land, Dauer, Abzüge nach BMF-Schreiben
Bewirtung 70/30	Regelwerk	70% absetzbar, 30% nicht
Vorsteuerabzug	Regelwerk	Rechnung formal korrekt, USt ausgewiesen
Anomalie-Erkennung	KI	Ungewöhnlich hoch, Häufung, Wochenende
Freigabe bei Abweichung	Mensch	Policy-Verletzung - Vorgesetzter bestätigt

Ergebnis: 85-92% vollautomatisch. Kosten pro Fall von 58 USD auf 8-12 USD.

Financial Close - Monatsabschluss beschleunigen

Laut Hackett Group (2024): durchschnittlich 6,4 Tage für den Monatsabschluss. Best-in-Class: 4,8 Tage.

Phase	Entscheidung	Typ
Kontenabstimmung	Soll-Ist-Abgleich	Regelwerk
Abgrenzungen	Periodenabgrenzung	Regelwerk
Rückstellungen	Bekannte Rückstellungen	Regelwerk
Intercompany	IC-Abstimmung	Regelwerk + KI
Wertberichtigungen	Forderungsbewertung	Mensch
Bilanz-Review	Plausibilitätsprüfung	KI + Mensch
Freigabe	Sign-off	Mensch

Ergebnis: Monatsabschluss von 6-7 auf 3-4 Tage. 70-80% der Abstimmungen automatisiert.

Betrugserkennung (Fraud Detection)

Laut ACFE (2024): 5% Umsatzverlust durch Betrug, durchschnittlich 12 Monate bis zur Entdeckung.

Prüfung	Typ	Beispiel
Duplikat-Rechnungen	Regelwerk + KI	Gleicher Betrag, ähnliche Nr., gleicher Zeitraum
Phantom-Lieferanten	KI	Neuer Lieferant, keine Webpräsenz
Betragsanomalien	KI	Signifikante Abweichung vom Bestellwert
Segregation of Duties	Regelwerk	Vier-Augen-Prinzip verletzt
Ungewöhnliche Muster	KI	Häufung kurz unter Freigabegrenze
Verdachtsfall	Mensch	Eskalation an Compliance

Ergebnis: Erkennungszeit von 12 Monaten auf Echtzeit. False-Positive-Rate unter 5%.

6 - Finance Readiness-Assessment

10 Fragen für den CFO. Bewerten Sie jede mit 0 (nein), 1 (teilweise) oder 2 (ja).

#	Frage	0	1	2
1	Wir haben eine Übersicht aller KI-Systeme im Finanzbereich (inkl. Shadow AI).	☐	☐	☐
2	Es gibt eine verantwortliche Person für KI-Governance im Finanzbereich.	☐	☐	☐
3	Der Wirtschaftsprüfer ist über KI-Nutzung informiert.	☐	☐	☐
4	Für jede automatisierte Finanzentscheidung ist definiert: H, R oder A.	☐	☐	☐
5	Es existiert ein Audit-Trail für KI-gestützte Buchungen.	☐	☐	☐
6	Eskalationspfade und Betragsschwellenwerte sind dokumentiert.	☐	☐	☐
7	Finance-Mitarbeitende haben eine KI-Schulung absolviert (Art. 4).	☐	☐	☐
8	Die interne Revision hat KI-Prozesse im Prüfungsplan.	☐	☐	☐
9	Unser IKS deckt KI-gestützte Prozesse ab.	☐	☐	☐
10	Wir haben einen Plan für August 2026.	☐	☐	☐

Score	Bewertung	Empfehlung
16-20	Bereit	Pilotprozess wählen und Decision Layer aufbauen.
10-15	Grundlage vorhanden	Governance formalisieren. Wirtschaftsprüfer einbinden.
5-9	Nachholbedarf	AI Literacy und Inventarisierung priorisieren.
0-4	Handlungsbedarf	Sofort starten. EU AI Act-Fristen laufen.

Investment-Regel (McKinsey 2024)

1 EUR Technologie = 4-5 EUR Prozesse, Governance, Change Management.

Technologie	15-20%
Prozess-Design	30-35%
Governance	20-25%
Change Management	20-25%

7 - Nächste Schritte

Der 90-Tage-Plan

Monat	Fokus	Ergebnis
1	Inventur	KI-Übersicht, Governance-Ownership, WP informiert, Pilotprozess identifiziert
2	Design	Workflow-Audit, H/R/A-Klassifikation, Schwellenwerte, IKS-Dokumentation
3	Pilot	Decision Layer aufgebaut, Parallelbetrieb, Messung nach 4-6 Wochen

Beratungsgespräch

Wir zeigen Ihnen den Decision Layer an Ihren eigenen Finance-Prozessen.

30 Minuten, kostenlos, unverbindlich.

Bert Gogolin - Geschäftsführer, Gosign GmbH

Kontakt: www.gosign.de/de/kontakt

Web: www.gosign.de