Zum Inhalt springen
W K
GoBD-konform §203 StGB-konform

IKS-Monitoring-Agent

Kontinuierliches IKS-Monitoring nach IDW PS 261 und AktG §91, mit lückenlosem Audit-Trail statt Stichprobe für Aufsichtsrats-Bericht und Konzern-Wirtschaftsprüfer.

Überwacht das Interne Kontrollsystem laufend gegen IDW PS 261 und AktG §91 und liefert lückenlose Evidenz für die DPR-Bilanzkontrolle.

Prozess analysieren lassen

Auswahl aus über 5.000 Projekten in 25 Jahren Softwareentwicklung

Airbus Volkswagen Shell Renault Evonik Vattenfall Philips KPMG

Das Kontrollsystem lückenlos überwachen, kritische Mängel aber von Menschen eskalieren lassen

Der Agent überwacht das Interne Kontrollsystem deterministisch gegen die IDW-PS-261-Komponenten und prüft Vier-Augen-Prinzip und Funktionstrennung über alle Vorgänge statt nur per Stichprobe. Erkannte Mängel mappt er auf die CMS-Komponenten nach IDW PS 980 und den Prüfungsstandard IDW PS 951, eskaliert wesentliche Fälle an den Prüfungsausschuss nach §107 AktG und dokumentiert die Risikobericht-Angaben für den Lagebericht nach HGB §289. Jeder Vorgang erhält einen vollständigen Audit-Trail; die Compliance-Entscheidung trifft immer ein Mensch.

Ergebnis: Die Prüfungs-Mehrkosten sinken von typisch 30 bis 150 Prozent (Big-Four-Stundensätze 280 bis 580 Euro bei IKS-Mängeln) auf unter 10 Prozent - durch Vollabdeckung statt Stichprobe und eine DPR-konforme Lagebericht-Generierung. Die DPR-Bilanzkontrolle erfasste 2024 über 350 Fälle mit 18 Prozent Fehlerquote, jeweils mit Mitteilungspflicht an den Prüfungsausschuss und durchschnittlich 4 bis 6 Monaten Korrekturaufwand.

74% Regelwerk
13% KI-Agent
13% Mensch

Der Agent zerlegt jeden Kontrollvorgang in 15 Entscheidungspunkte mit zwei menschlichen Eskalationen:

IDW PS 261 Mängel kosten Mittelstand 30-150% höhere Prüfungskosten - DPR-Bilanzkontrolle erfasste 2024 über 350 Fälle

Das Interne Kontrollsystem in Deutschland steht zwischen fünf parallelen Audit-Themen mit ganz unterschiedlichen Konsequenzen. AktG §91 Abs. 2 verlangt seit KonTraG 1998 von jedem AG-Vorstand ein Risikofrüherkennungssystem, abgesichert durch die persönliche Haftung nach §93 AktG. IDW PS 261 (2024 als PS 261 n.F. aktualisiert) regelt die Wirksamkeitsprüfung im Rahmen der Jahresabschlussprüfung mit Anpassung des Prüfungsumfangs. IDW PS 980 koppelt das CMS mit seinen sieben Komponenten an das IKS. Die DPR-Bilanzkontrolle prüft kapitalmarktorientierte Lageberichte stichprobenweise und kam 2024 auf 18 Prozent Fehlerquote. Und MaRisk AT 4.3 verlangt von Kreditinstituten gesonderte Mindestanforderungen unter BaFin-Aufsicht. Damit kann ein einziger geschäftsrelevanter Kontrollvorgang in einem deutschen Konzern oder Mittelständler bis zu fünf Audit-Prüfungen auslösen.

IDW PS 261 Mängel kosten Mittelstand 30-150% höhere Prüfungskosten - DPR-Bilanzkontrolle erfasste 2024 über 350 Fälle

Die IDW-PS-261-Wirksamkeitsprüfung durch den Konzern-Wirtschaftsprüfer ist die häufigste Konsequenz unzureichender IKS-Strukturen. Der Prüfer dokumentiert im Prüfungsbericht nach HGB §317 Abs. 4 die Wirksamkeit des IKS und passt den Prüfungsumfang für das Substantive Testing an - Mängel führen zu 30 bis 150 Prozent Mehrkosten bei Big-Four-Stundensätzen von 280 bis 580 Euro. Bei einem Mittelständler mit 800 Prüfungsstunden Standardumfang sind das 224.000 bis 696.000 Euro Mehrbelastung pro Geschäftsjahr, über Folgejahre kumuliert sechsstellig.

Parallel läuft die DPR-Bilanzkontrolle als separates Verfahren bei kapitalmarktorientierten Gesellschaften. Die Deutsche Prüfstelle für Rechnungslegung prüfte 2024 über 350 Lageberichte stichprobenweise und anlassbezogen, mit 18 Prozent Fehlerquote - typische Findings sind unzureichende Risikobericht-Angaben nach HGB §289 Abs. 4, fehlende Wesentlichkeits-Begründungen bei Schätzungsunsicherheiten und fehlende IKS-Wirksamkeits-Angaben bei Mängeln. Bei festgestellten Fehlern muss das Unternehmen die Lageberichts-Korrektur ad-hoc veröffentlichen und dem Prüfungsausschuss berichten; eine Verweigerung führt zur BaFin-Eskalation mit Bußgeld bis 10 Mio Euro. Hinzu kommen die Risiken nach OWiG §30 und §130: Bei nachgewiesenem IKS-Versagen und dadurch ermöglichten Pflichtverstößen drohen Verbandsgeldbußen bis 10 Mio Euro und die Vorteilsabschöpfung; 2024 lagen Kartellbußen bei DAX-Konzernen bei bis zu 800 Mio Euro.

Die 15 deterministischen Entscheidungspunkte mit zwei menschlichen Eskalationen

Der Agent verarbeitet jeden IKS-Vorgang in 15 strukturierten Entscheidungspunkten: 13 regelbasierte Klassifikationen, eine ML-basierte Anomalie-Erkennung (Buchungsmuster) und zwei menschliche Eskalationen für die Banken-Spezial-Prüfung nach MaRisk AT 4.3 und den Prüfungsausschuss nach §107 AktG. Die regelbasierten Schritte umfassen das Mapping auf die fünf COSO-Komponenten nach IDW PS 261, die Bestandsgefährdungs-Bewertung nach AktG §91, den Abgleich gegen die sieben Komponenten nach IDW PS 980 und den DPR-Lagebericht-Pflichtkatalog nach HGB §289 Abs. 4. Die ML-Anomalie-Erkennung markiert ungewöhnliche Buchungsmuster (Häufung knapp unter der Freigabegrenze, untypische Zeitstempel, Round-Sum-Auffälligkeiten); das Ergebnis ist ein Indikator für die Prüfung durch den Compliance-Officer, nie eine Entscheidung, und die Modell-Version ist GoBD-konform dokumentiert.

Ein konkretes Beispiel: ein Mittelständler mit 1.850 Mitarbeitern und einer Vertriebsgesellschaft in der Schweiz. Im Einkauf legt ein Mitarbeiter Lieferantenstammdaten an, erfasst Bestellungen und gibt Rechnungen zur Zahlung frei - drei Rollen, eine Person, ein klassischer SoD-Konflikt. Der Agent klassifiziert: Pflichtanwender nach AktG §91 Abs. 2 bestätigt (große GmbH), IDW-PS-261-Komponente Kontrollaktivitäten betroffen, SoD-Konflikt zwischen Anlage, Buchung und Freigabe identifiziert, Wesentlichkeitsschwelle von 5 Prozent des Konzernergebnisses überschritten (Vertragsvolumen 4,8 Mio Euro pro Jahr). Die Anomalie-Erkennung markiert eine Häufung von Bestellungen knapp unter dem Freigabelimit von 25.000 Euro (47 Bestellungen zwischen 24.500 und 24.999 Euro im Quartal) als Indikator. Der Agent erzeugt eine Eskalation an den Prüfungsausschuss mit Maßnahmen-Empfehlungen: Berechtigungsbereinigung binnen 30 Tagen, halbjährliche Rezertifizierung und eine Lagebericht-Angabe zur Wesentlichkeit nach HGB §289 Abs. 4. Das Prüfungsausschuss-Memo wird GoBD-konform mit qualifiziertem Zeitstempel archiviert.

IDW PS 261 IKS-Wirksamkeitsprüfung als Big-4 Substantive Testing-Schwerpunkt

Das Substantive Testing der Big Four nach PCAOB AS 2110 und IDW PS 261 konzentriert sich beim IKS auf vier Bereiche: die Wirksamkeit der Funktionstrennung mit SoD-Konflikt-Prüfung (typischer Mangel: eine gewachsene Berechtigungsstruktur ohne periodische Bereinigung - IDW-Berichte 2024 zeigen 47 Prozent der Mittelständler mit über fünf Jahre nicht bereinigten SoD-Konflikten), die Vollständigkeit der Kontrollaktivitäten gegenüber den definierten Risiken (oft Lücken bei neuen Prozessen wie ESG-Reporting, Cyber-Risiken und AI-Governance), die Wirksamkeit der Monitoring-Komponente (Mangel: nur quartalsweise statt kontinuierliche Stichproben) und die Vollständigkeit der Angaben in Lage- und Konzernlagebericht nach HGB §289/§315. Der Agent erzeugt die IKS-Angaben automatisiert: das Mapping auf die fünf COSO-Komponenten nach IDW PS 261, eine Risiko-Heatmap nach der Wesentlichkeitsschwelle gemäß AktG §91, den Wirksamkeitsstatus je Komponente, KPIs zu Berechtigungsänderungen, SoD-Konflikten und Monitoring-Vollständigkeit sowie die Verbandskontrolle nach OWiG §30/§130, abgestimmt auf die CMS-Komponenten nach IDW PS 980.

Edge-Cases: Stellvertreterregelung, Konzern-Joint-Audits, Banken-MaRisk und DPR-Anlassprüfung

Die Stellvertreterregelung ist die häufigste Edge-Case-Konstellation: Bei Urlaub oder Krankheit wird das Vier-Augen-Prinzip vorübergehend durch Delegation an einen Stellvertreter aufgehoben. Der Agent prüft jede Stellvertretung gegen den genehmigten Zeitraum und das Limit; bei Überschreitung eskaliert er an den Compliance-Officer. Konzern-Joint-Audits nach IDW PS 951 Typ 2 sind bei Auslagerungen komplex: Lagert ein deutscher Konzern die Lohnabrechnung an einen externen Dienstleister aus, prüft der Wirtschaftsprüfer dessen IKS über 6 bis 12 Monate Wirksamkeit. Der Agent liefert die Datenbasis über vollständigen Audit-Trail-Export und Wirksamkeitsnachweise.

Bei Kreditinstituten verlangen MaRisk AT 4.3 und BAIT 5.4 erweiterte Anforderungen: die funktionale Trennung von Markt, Marktfolge, Risikocontrolling, Compliance und Internal Audit, eine mindestens jährliche Rezertifizierung der Berechtigungen und die Just-in-Time-Vergabe kritischer Rechte. BaFin-Prüfungen 2024 zeigen 67 Prozent der Institute mit Mängeln im BAIT-Berechtigungsmanagement; der Agent prüft das Banken-IKS gegen den MaRisk-Pflichtkatalog. Die DPR-Anlassprüfung ist seltener (rund 15 Prozent der DPR-Verfahren 2024), aber kritisch - bei Kursauffälligkeiten oder Whistleblower-Hinweisen prüft die DPR ad-hoc; der Agent dokumentiert die IKS-Wirksamkeit fortlaufend als präventive Evidenz.

Integration mit SAP GRC, DATEV, AuditBoard und der deutschen Prüfungsarchitektur

Der Agent bindet die führenden deutschen und internationalen GRC-Systeme über deren APIs an: SAP GRC Process Control, Risk Management und S/4HANA Internal Controls als Konzern-Standard, DATEV Konzern, Compliance und Audit Trail für den Mittelstand, Oracle Risk Management Cloud für Multi-Jurisdiction-Konzerne, AuditBoard für SOX-Compliance, Diligent Compliance Suite für das Aufsichtsrats-Reporting sowie Wolters Kluwer TeamMate+, MetricStream, Workiva und ServiceNow GRC. Die DPR-Schnittstelle erzeugt das Risikobericht-XML nach HGB §289 Abs. 4 automatisiert; das Prüfungsausschuss-Reporting läuft über Diligent Boards, Nasdaq Boardvantage und Microsoft Teams. Das Substantive Testing der Big Four wird über den Datenexport an Deloitte ASM, PwC Aura, EY Helix und KPMG Clara unterstützt, jeweils mit dem Mapping auf die fünf COSO-Komponenten nach IDW PS 261 und die sieben Komponenten nach IDW PS 980. Bei Banken kommen das BaFin-MaRisk-Reporting über die Meldewesen-Tools und die Auslagerungs-Anzeige hinzu. Die Steuerbilanz-Schnittstelle zu DATEV LODAS und SAP TaxBox arbeitet GoBD-konform mit qualifiziertem Zeitstempel nach BMF 28.11.2019. Die Konfiguration ist BetrVG-konform: Pseudonymisierung als Standardmodus und eine dokumentierte Zweckbindung über die Betriebsvereinbarung.

Micro-Decision-Tabelle

Wer entscheidet bei diesem Agent?

15 Entscheidungsschritte, aufgeteilt nach Decider

74%(11/15)
Regelwerk
deterministisch
13%(2/15)
KI-Agent
modellbasiert mit Confidence
13%(2/15)
Mensch
explizit zugewiesen
Mensch
Regelwerk
KI-Agent
Jede Zeile ist eine Entscheidung. Aufklappen zeigt die Entscheidungsakte und ob man anfechten kann.
AktG §91 Abs. 2 Pflichtanwender-Klassifikation Unterliegt das Unternehmen als AG, KGaA oder große GmbH der Risikofrüherkennungspflicht nach §91 Abs. 2 AktG samt Aufsichtsrats-Berichtspflicht? Regelwerk WP/BP

Strukturierte Prüfung von Rechtsform, Größenklasse nach §267 HGB und Kapitalmarkt-Orientierung. KonTraG 1998 und BilMoG 2009 erweitern den Anwendungsbereich auf große GmbH.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Anfechtbar durch: WP/BP

IDW PS 261 IKS-Komponenten-Mapping Welche der fünf COSO-Komponenten (Kontrollumgebung, Risikobeurteilung, Kontrollaktivitäten, Information, Monitoring) berührt der Geschäftsprozess? Regelwerk WP/BP

Strukturiertes Mapping nach IDW PS 261 n.F. 2024 als Grundlage für die Wirksamkeitsprüfung des Konzern-Wirtschaftsprüfers, der den Prüfungsumfang nach HGB §317 Abs. 4 anpasst.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Anfechtbar durch: WP/BP

Vier-Augen-Prinzip-Validierung Wurde das definierte Vier-Augen-Prinzip pro Transaktion eingehalten oder umgangen durch Stellvertreterregelung? Regelwerk WP/BP

Deterministischer Abgleich der Berechtigungsmatrix gegen den Audit-Log-Eintrag. Eine vorübergehende Stellvertretung wird gegen die genehmigte Delegationszeit geprüft.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Anfechtbar durch: WP/BP

Segregation-of-Duties-Konflikt-Erkennung Existiert ein SoD-Konflikt zwischen Anlage, Buchung, Freigabe und Auszahlung in der Berechtigungsstruktur? Regelwerk WP/BP

Vollabgleich der Berechtigungsmatrix gegen die Rollenzuweisungen je User, nach den Standardregeln von SAP GRC Process Control und der Funktionstrennung nach IDW PS 261.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Anfechtbar durch: WP/BP

Freigabelimit-Compliance Wurde das genehmigte Freigabelimit je User oder Rolle eingehalten oder vorübergehend angehoben? Regelwerk WP/BP

Abgleich der Limit-Konfiguration gegen die tatsächlichen Freigabewerte und das Änderungs-Audit-Log. Nicht zurückgesetzte Anhebungen lösen eine Eskalation aus.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Anfechtbar durch: WP/BP

Berechtigungsänderungs-Überwachung Wurden kritische Berechtigungen über einen dokumentierten Genehmigungs-Workflow oder außerhalb des Change-Prozesses geändert? Regelwerk WP/BP

Vollständiger Audit-Log-Scan nach IDW PS 261 und BAIT 5.4 (Berechtigungsmanagement). Jede Änderung muss Genehmiger-ID und Begründung enthalten.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Anfechtbar durch: WP/BP

Anomalie-Erkennung Transaktionsmuster Liegen ungewöhnliche Buchungsmuster vor (Häufung knapp unter der Freigabegrenze, untypische Zeitstempel, Round-Sum-Auffälligkeiten)? KI-Agent WP/BP

ML-basierte Anomalie-Erkennung auf den Buchungsdaten. Das Ergebnis ist ein Indikator für die Prüfung durch den Compliance-Officer, keine Entscheidung; die Modell-Version ist dokumentiert.

Entscheidungsakte

Modell-Version und Confidence Score
Eingabedaten und Klassifikationsergebnis
Entscheidungsgrund (Erklärbarkeit)
Audit Trail mit vollständiger Nachvollziehbarkeit

Anfechtbar: Ja - vollständig dokumentiert, durch Menschen überprüfbar, Einspruch über formalen Prozess.

Anfechtbar durch: WP/BP

Kontroll-Lücken-Identifikation Welche Geschäftsprozesse haben definierte Risiken, aber keine zugewiesenen Kontrollaktivitäten nach IDW PS 261? KI-Agent WP/BP

Gap-Analyse der Risiko-Kontroll-Matrix gegen das Geschäftsprozess-Inventar. Eine LLM-Klassifikation der Prozessbeschreibungen gleicht diese gegen die COSO-Komponenten ab.

Entscheidungsakte

Modell-Version und Confidence Score
Eingabedaten und Klassifikationsergebnis
Entscheidungsgrund (Erklärbarkeit)
Audit Trail mit vollständiger Nachvollziehbarkeit

Anfechtbar: Ja - vollständig dokumentiert, durch Menschen überprüfbar, Einspruch über formalen Prozess.

Anfechtbar durch: WP/BP

Risikoklassifizierung pro Kontrollbereich Welche Risikoklasse (niedrig, mittel, hoch, wesentlich) gilt je Kontrollbereich nach Eintrittswahrscheinlichkeit und Schadenshöhe? Regelwerk WP/BP

Strukturiertes Scoring nach der Bestandsgefährdung gemäß AktG §91 und der Wesentlichkeitsschwelle nach IDW PS 261; die Wesentlichkeitsgrenze liegt bei 5 Prozent des Konzernergebnisses.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Anfechtbar durch: WP/BP

IDW PS 980 CMS-Kopplung Welche der sieben CMS-Komponenten nach IDW PS 980 berühren die erkannten IKS-Mängel? Regelwerk WP/BP

Mapping der IKS-Findings auf die IDW-PS-980-Komponenten (Compliance-Kultur, Ziele, Risiken, Programm, Organisation, Kommunikation, Überwachung) - relevant für die integrierte Prüfung.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Anfechtbar durch: WP/BP

MaRisk AT 4.3 Banken-Spezial-Prüfung Erfüllt das IKS eines Kreditinstituts die Mindestanforderungen nach MaRisk AT 4.3, inklusive der funktionalen Trennung von Markt und Marktfolge? Mensch WP/BP

Die Beurteilung verlangt MaRisk-Expertise und BaFin-Ausrichtung - die Trennung von Front-Office, Risikocontrolling, Compliance und Internal Audit.

Entscheidungsakte

Entscheider-ID und Rolle
Begründung der Entscheidung
Zeitstempel und Kontext

Anfechtbar: Ja - über Vorgesetzten, Betriebsrat oder formalen Einspruch.

Anfechtbar durch: WP/BP

Aufsichtsrats-Eskalation Prüfungsausschuss Erreicht das erkannte IKS-Versagen die Wesentlichkeitsschwelle für Aufsichtsrats-Prüfungsausschuss-Bericht §107 AktG? Mensch WP/BP

Die Compliance-Entscheidung verlangt eine Bewertung der Bestandsgefährdung nach AktG §91 Abs. 2 und berücksichtigt die Mitteilungspflicht an den Prüfungsausschuss (BilMoG 2009).

Entscheidungsakte

Entscheider-ID und Rolle
Begründung der Entscheidung
Zeitstempel und Kontext

Anfechtbar: Ja - über Vorgesetzten, Betriebsrat oder formalen Einspruch.

Anfechtbar durch: WP/BP

DPR-Bilanzkontroll-Vorbereitung Liegen IKS-Mängel mit Disclosure-Relevanz für HGB §289 Abs. 4 Risikobericht oder DPR-Stichprobenprüfung vor? Regelwerk WP/BP

Mapping der IKS-Findings gegen die Lagebericht-Pflichtangaben und den DPR-Prüfkatalog. Bei Wesentlichkeit sind Lagebericht-Berichtigung und Ad-hoc-Mitteilung erforderlich.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Anfechtbar durch: WP/BP

OWiG §130 Aufsichtspflicht-Risiko-Bewertung Erzeugt das IKS-Versagen Aufsichtspflichtverletzungen, die eine Verbandsgeldbuße nach OWiG §30/§130 auslösen können? Regelwerk WP/BP

Prüfung der dokumentierten Aufsichtsmaßnahmen und der Reaktionszeit nach Erkenntnis. Drohen können eine Verbandsgeldbuße bis 10 Mio Euro und die Vorteilsabschöpfung.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Anfechtbar durch: WP/BP

GoBD-Verfahrensdokumentation IKS-Update Wurde die GoBD-Verfahrensdokumentation nach BMF 28.11.2019 und AO §146 für die geänderten Kontrollaktivitäten aktualisiert? Regelwerk WP/BP

Pflicht-Aktualisierung der Verfahrensdokumentation samt Funktionstrennung nach IDW PS 951 - außenprüfungskonform mit qualifiziertem Zeitstempel.

Entscheidungsakte

Regel-ID und Versionsnummer
Eingabedaten die zur Anwendung führten
Berechnungsergebnis und angewandte Formel

Anfechtbar: Ja - Regelanwendung prüfbar. Einspruch bei fehlerhafter Datenbasis oder falscher Regelversion.

Anfechtbar durch: WP/BP

Entscheidungsakte und Anfechtbarkeit

Jede Entscheidung, die dieser Agent trifft oder vorbereitet, wird in einer vollständigen Entscheidungsakte dokumentiert. Betroffene (Mitarbeiter, Lieferanten, Prüfer) können jede einzelne Entscheidung einsehen, nachvollziehen und anfechten.

Welche Regel in welcher Version wurde angewandt?
Welche Daten lagen der Entscheidung zugrunde?
Wer (Mensch, Regelwerk oder KI) hat entschieden - und warum?
Wie kann die betroffene Person Einspruch einlegen?
So setzt der Decision Layer das architektonisch um →

Passt dieser Agent zu Ihrem Prozess?

Wir analysieren Ihren konkreten Finance-Prozess und zeigen, wie dieser Agent in Ihre Systemlandschaft passt. 30 Minuten, keine Vorbereitung nötig.

Prozess analysieren lassen

Governance-Hinweise

GoBD-konform §203 StGB-konform

AktG §91 Abs. 2 Risikofrüherkennung: Der Vorstand jeder AG und KGaA muss seit KonTraG 1998 ein Überwachungssystem einrichten, das bestandsgefährdende Entwicklungen früh erkennt. Ein Verstoß führt zur unbeschränkten persönlichen Vorstandshaftung nach §93 AktG. BilMoG 2009, Prüfungsausschuss: §107 Abs. 3 AktG verpflichtet kapitalmarktorientierte Gesellschaften zu einem Prüfungsausschuss mit IKS-Wirksamkeitsprüfung; den Vorsitz muss eine Person mit Sachverstand in Rechnungslegung oder Wirtschaftsprüfung führen.

IDW PS 261 IKS-Wirksamkeitsprüfung: Der Konzern-Wirtschaftsprüfer beurteilt im Rahmen der Jahresabschlussprüfung nach HGB §317 Abs. 4 die Wirksamkeit des IKS und passt den Prüfungsumfang an. Mängel führen zu einer erweiterten Prüfung mit 30 bis 150 Prozent Mehrkosten und einer möglichen Einschränkung des Testats. DPR-Bilanzkontrolle: Die Deutsche Prüfstelle für Rechnungslegung prüft kapitalmarktorientierte Lageberichte stichprobenweise und anlassbezogen; 2024 lag die Fehlerquote bei 18 Prozent, jeweils mit Mitteilungspflicht an den Aufsichtsrat und Korrekturanforderung. MaRisk AT 4.3 für Banken: Kreditinstitute unterliegen gesonderten IKS-Mindestanforderungen mit funktionaler Trennung von Markt und Marktfolge und einer BaFin-Anzeigepflicht bei Erreichen der Wesentlichkeitsschwelle.

§203 StGB-relevante Daten werden Ende-zu-Ende verschlüsselt und nie im Klartext an KI-Modelle übergeben.

Beitrag zur Verfahrensdokumentation

Für jeden Kontrollvorgang dokumentiert der Agent den vollständigen Prüfpfad. Die Kontroll-Erfassung hält eine versionierte Risiko-Kontroll-Matrix mit Mapping auf die fünf COSO-Komponenten nach IDW PS 261 vor. Die Berechtigungsmatrix-Überwachung nutzt einen vollständigen Audit-Log-Scan (SAP GRC, Oracle IAM) und eine SoD-Konflikt-Engine mit den IDW-Standardregeln. Die Anomalie-Erkennung analysiert Buchungsmuster ML-basiert und liefert nur Indikatoren, keine Entscheidungen.

Die CMS-Kopplung gleicht die Findings gegen die sieben Komponenten nach IDW PS 980 ab und erzeugt die Lagebericht-Angaben nach HGB §289 Abs. 4. Das Aufsichtsrats-Reporting aggregiert prüfungsausschusskonform nach §107 AktG mit Bestandsgefährdungs-Klassifikation nach AktG §91 Abs. 2. Bei Banken kommen MaRisk AT 4.3, BAIT 5.4 und die Auslagerungs-Prüfung nach AT 9 hinzu. Die GoBD-Verfahrensdokumentation folgt BMF 28.11.2019 und AO §146, mit qualifiziertem Zeitstempel und Funktionstrennung nach IDW PS 951.

Bewertung

Agent Readiness 66-73%
Governance-Komplexität 81-88%
Economic Impact 68-75%
Leuchtturm-Wirkung 34-41%
Implementation Complexity 58-65%
Transaktionsvolumen Täglich

Voraussetzungen

  • Definiertes IKS-Framework nach IDW PS 261 mit Risiko-Kontroll-Matrix und Struktur der fünf COSO-Komponenten
  • Berechtigungsmatrix-System (SAP GRC, Oracle IAM, ServiceNow GRC) mit vollständigem Audit-Log-Export
  • Anbindung des Vertragsmanagements für die CMS-Kopplung nach IDW PS 980 und den Workflow des Compliance-Beauftragten
  • GoBD-konformes Archivsystem mit qualifiziertem Zeitstempel (BMF 28.11.2019) und den Ordnungsvorschriften nach AO §146
  • Reporting-Schnittstelle zum Aufsichtsrats-Prüfungsausschuss nach §107 AktG und ein Datenraum für den Konzern-Wirtschaftsprüfer
  • Bei Banken: MaRisk AT 4.3, BAIT, ein Auslagerungs-Vertragsregister nach AT 9 und der BaFin-Anzeige-Workflow

Infrastruktur-Beitrag

Der Agent ist die Governance-Meta-Ebene des Decision Layers. Er überwacht die Kontrollen, die alle anderen Finance-Agenten implementieren: die Vier-Augen-Prüfung des Zahlungslauf-Agents, die Funktionstrennung des Bestellanforderungs-Agents und die Anomalie-Erkennung des Buchungs-QA-Agents. Diese prüft der IKS-Agent vollständig statt per Stichprobe, mappt sie gegen IDW PS 261, PS 980 und PS 951 und aggregiert sie in Reports, die zum Aufsichtsrats-Prüfungsausschuss passen. Die Architektur ist zertifizierungsbereit nach IDW PS 951 Typ 2 und liefert den Datenexport für das Substantive Testing nach PCAOB AS 2110.

Was diese Erstbewertung enthält: 9 Slides für Ihr Führungsteam

Personalisiert mit Ihren Zahlen. Generiert in 2 Minuten direkt im Browser. Kein Upload, kein Login.

  1. 1

    Titelfolie - Prozessname, Entscheidungspunkte, Automatisierungspotenzial

  2. 2

    Executive Summary - FTE-Freisetzung, Kosten pro Vorgang vorher/nachher, Break-Even-Datum, Kosten des Wartens

  3. 3

    Ausgangslage - Transaktionsvolumen, Fehlerkosten, Wachstumsszenario mit FTE-Vergleich

  4. 4

    Lösungsarchitektur - Mensch - Regelwerk - KI-Agent mit konkreten Entscheidungspunkten

  5. 5

    Governance - EU AI Act, GoBD/HGB, Audit Trail - mit Ampelstatus

  6. 6

    Risikoanalyse - 5 Risiken mit Eintrittswahrscheinlichkeit, Auswirkung und Gegenmaßnahme

  7. 7

    Roadmap - 3-Phasen-Plan mit konkreten Kalenderdaten und Go/No-Go

  8. 8

    Business Case - 3-Szenarien-Vergleich (Nichtstun/Neueinstellung/Automatisierung) plus 3×3-Sensitivitätsmatrix

  9. 9

    Diskussionsvorschlag - Konkrete nächste Schritte mit Zeitplan und Verantwortlichkeiten

Enthält: 3-Szenarien-Vergleich

Nichtstun vs. Neueinstellung vs. Automatisierung - mit Ihrem Gehaltsniveau, Ihrer Fehlerquote und Ihrem Wachstumsplan. Die eine Slide, die Ihr CFO als erstes sehen will.

Berechnungsmethodik anzeigen

Stundensatz: Jahresgehalt (Ihre Eingabe) × 1,3 AG-Anteil ÷ 1.720 Jahresarbeitsstunden

Einsparung: Vorgänge × 12 × Automatisierungsrate × Minuten/Vorgang × Stundensatz × Economic Factor

Qualitäts-ROI: Fehlerreduktion × Vorgänge × 12 × EUR 260/Fehler (APQC Open Standards Benchmarking)

FTE: Eingesparte Stunden ÷ 1.720 Jahresarbeitsstunden

Break-Even: Benchmark-Investition ÷ monatliche Gesamteinsparung (Effizienz + Qualität)

Neueinstellung: Jahresgehalt × 1,3 + EUR 12.000 Recruiting pro FTE

Alle Daten bleiben in Ihrem Browser. Nichts wird an Server übertragen.

IKS-Monitoring-Agent

Erstbewertung für Ihr Führungsteam

In 2 Minuten eine fundierte Erstbewertung - mit Ihren Zahlen, Ihrem Risikoprofil und Branchenbenchmarks. Kein Anbieter-Logo, kein Vendor-Pitch.

Alle Daten bleiben in Ihrem Browser. Nichts wird übertragen.

Verwandte Agenten

Jahresabschluss-Vorbereitungs-Agent

Jahresabschluss systematisch vorbereiten - von der Abschluss-Checkliste bis zur Offenlegung.

W K
Readiness: 42-49%
Economic: 68-75%
Governance: 51-58%
Micro-Decisions: 15
Jährlich

Fraud-Detection-Agent

Kontinuierliche Betrugserkennung nach IDW PS 210 und StGB §263/§266, mit Audit-Trail für Strafanzeige und Geldwäsche-Meldung - Vollabdeckung statt Stichprobe.

W K
Readiness: 71-78%
Economic: 74-81%
Governance: 34-41%
Micro-Decisions: 15
Täglich

Verfahrensdokumentations-Agent

GoBD-Verfahrensdokumentation automatisch aktuell halten - bei jeder Prozessänderung.

K D
Readiness: 61-68%
Economic: 58-65%
Governance: 28-35%
Micro-Decisions: 8
Täglich

Häufige Fragen

Welche Unternehmen unterliegen der AktG §91 Abs. 2 Risikofrüherkennungspflicht und welche Aufsichtsrats-Pflichten gelten?

AktG §91 Abs. 2 verpflichtet seit KonTraG 1998 alle Aktiengesellschaften und KGaA zu einem Überwachungssystem, das bestandsgefährdende Entwicklungen früh erkennt - mittelbar gilt das über DCGK und BilMoG 2009 auch für große GmbH. Der Vorstand haftet nach §93 AktG persönlich und unbeschränkt für Pflichtverletzungen, Aufsichtsratsmitglieder nach §116 AktG für ihre Überwachungspflichten. BilMoG 2009 ergänzt §107 Abs. 3 AktG um die Prüfungsausschuss-Pflicht für kapitalmarktorientierte Gesellschaften; der Vorsitz muss Sachverstand in Rechnungslegung oder Wirtschaftsprüfung haben. Der Prüfungsausschuss überwacht IKS-Wirksamkeit, Internal Audit, Compliance und Konzernabschlussprüfung. Bei DAX- und MDAX-Unternehmen ist das Balanced-Scorecard-Format der Aufsichtsratsberichterstattung Standard; der Agent erzeugt die Datenbasis automatisiert.

Wie unterscheidet sich IDW PS 261 von IDW PS 951 und IDW PS 980 in der IKS-Prüfung?

IDW PS 261 (2024 als IDW PS 261 n.F. aktualisiert) regelt die Feststellung und Beurteilung von Fehlerrisiken und den Aufbau des IKS im Rahmen der Jahresabschlussprüfung nach HGB §317 Abs. 4 - der Konzern-Wirtschaftsprüfer beurteilt die Wirksamkeit und passt seinen Prüfungsumfang an. IDW PS 951 (Typ 1 und Typ 2) regelt die Prüfung des IKS bei Dienstleistungsunternehmen, die für Kunden rechnungslegungsrelevante Prozesse durchführen - typisch Lohnabrechner, IT-Outsourcing und Cloud-Provider. Typ 1 prüft den Aufbau, Typ 2 die Wirksamkeit über 6 bis 12 Monate. IDW PS 980 prüft das Compliance-Management-System mit sieben Komponenten (Kultur, Ziele, Risiken, Programm, Organisation, Kommunikation, Überwachung) und überlappt mit IDW PS 261 bei Compliance-Risiken und Überwachung. Der Agent bedient alle drei Standards parallel durch eine konsequente Dokumentation der Wirksamkeitsnachweise.

Was sind die typischen DPR-Bilanzkontroll-Findings 2024 und wie kann der Agent diese präventiv adressieren?

Die Deutsche Prüfstelle für Rechnungslegung prüft jährlich rund 350 kapitalmarktorientierte Lageberichte stichprobenartig und anlassbezogen; 2024 lag die Fehlerquote bei 18 Prozent. Typische Findings sind unzureichende Risikobericht-Angaben nach HGB §289 Abs. 4 (44 Prozent der Fehler), fehlende Wesentlichkeits-Begründungen bei Schätzungsunsicherheiten (28 Prozent), unvollständige Angaben zu Konzernverflechtungen nach IFRS 12 und DRS 11 (16 Prozent) sowie fehlende IKS-Wirksamkeits-Angaben bei Mängeln (12 Prozent). Bei festgestellten Fehlern muss das Unternehmen die Lageberichts-Korrektur ad-hoc veröffentlichen und dem Prüfungsausschuss berichten; bei Verweigerung schaltet die DPR die BaFin ein. Der Agent erzeugt die Risikobericht-Angaben automatisiert aus der IKS-Komponenten-Matrix nach IDW PS 261, dem CMS-Mapping nach IDW PS 980 und der Bestandsgefährdungs-Klassifikation nach AktG §91.

Wie funktioniert die IKS-Wirksamkeitsprüfung der Big Four mit Substantive Testing nach PCAOB AS 2110 und IDW PS 261?

Die Big-Four-Prüfer (Deloitte, PwC, EY, KPMG) prüfen das IKS in zwei Phasen: Die Aufbau-Prüfung (Walkthrough) klassifiziert die definierten Kontrollen nach Risikoabdeckung, die Wirksamkeitsprüfung testet über Stichprobe oder Vollabdeckung die tatsächliche Anwendung. PCAOB AS 2110 und IDW PS 261 konzentrieren sich beim Substantive Testing auf vier Bereiche: die Wirksamkeit der Funktionstrennung mit SoD-Konflikt-Prüfung (typischer Mangel: eine gewachsene Berechtigungsstruktur ohne periodische Bereinigung), die Vollständigkeit der Kontrollaktivitäten gegenüber den Risiken (oft Kontroll-Lücken bei neuen Prozessen), die Wirksamkeit der Monitoring-Komponente mit dokumentierten Stichproben (47 Prozent Mängel laut IDW-Berichten 2024) und die Vollständigkeit der Risikobericht-Angaben. Der Agent senkt die Prüfungsmehrkosten von typisch 30 bis 150 Prozent (Stundensätze 280 bis 580 Euro) auf unter 10 Prozent durch automatisierte Vollabdeckung statt Stichprobe.

Welche IKS-Spezialanforderungen gelten für Kreditinstitute nach MaRisk AT 4.3 und BAIT 5.4?

Kreditinstitute unterliegen über KWG §25a und die MaRisk (Mindestanforderungen an das Risikomanagement) gesonderten IKS-Anforderungen, die über HGB und IDW PS 261 hinausgehen. MaRisk AT 4.3 fordert die funktionale Trennung von Markt, Marktfolge, Risikocontrolling, Compliance und Internal Audit. BAIT 5.4 konkretisiert das IT-Berechtigungsmanagement mit mindestens jährlicher Rezertifizierung und Just-in-Time-Vergabe kritischer Rechte. MaRisk AT 9 verlangt bei wesentlichen Auslagerungen vollständige Prüfungs- und Weisungsrechte der BaFin sowie durchgehende Audit-Trails. BaFin-Prüfungen 2024 zeigen 67 Prozent der Institute mit Mängeln im BAIT-Berechtigungsmanagement und 34 Prozent mit Funktionstrennungs-Verstößen nach MaRisk AT 4.3. Der Agent prüft das Banken-IKS gegen den MaRisk-Pflichtkatalog und eskaliert bei Erreichen der Wesentlichkeitsschwelle an den Compliance-Officer samt BaFin-Meldung.

Was bedeutet das Risiko einer Aufsichtspflichtverletzung nach OWiG §30 und §130 für den Vorstand bei IKS-Versagen?

OWiG §130 stellt die Verletzung der Aufsichtspflicht in Betrieben unter Bußgeld: Der Vorstand muss zumutbare Aufsichtsmaßnahmen treffen, um Zuwiderhandlungen gegen unternehmensbezogene Pflichten zu verhindern. Bei nachgewiesenem IKS-Versagen und dadurch ermöglichten Verstößen (Steuerhinterziehung, Betrug, Wettbewerbs- oder DSGVO-Verstöße) drohen Verbandsgeldbußen nach §30 OWiG bis 10 Mio Euro und die Vorteilsabschöpfung nach §29a OWiG. Bei mehreren Pflichtverletzungen kumuliert das Bußgeld; 2024 lagen Kartellbußen bei DAX-Konzernen bei bis zu 800 Mio Euro. Zusätzlich haftet der Vorstand persönlich und unbeschränkt nach §93 AktG, abgesichert nur durch eine D&O-Police mit 10 Prozent Selbstbehalt. Der Agent dokumentiert die Aufsichtsmaßnahmen und Reaktionszeiten fortlaufend als Evidenz gegen den Vorwurf der Aufsichtspflichtverletzung.

Wie wird das BetrVG §87 Mitbestimmungsrecht des Betriebsrats bei IKS-Monitoring eingehalten?

BetrVG §87 Abs. 1 Nr. 6 gibt dem Betriebsrat ein Mitbestimmungsrecht bei der Einführung und Anwendung technischer Einrichtungen, die geeignet sind, Verhalten oder Leistung der Arbeitnehmer zu überwachen. IKS-Monitoring-Systeme fallen typisch darunter, sobald personenbezogene Daten ausgewertet werden (User-IDs in Audit-Logs, SoD-Konflikt-Reports, Berechtigungsänderungen). Die Mitbestimmung verlangt eine Betriebsvereinbarung zu Zweckbindung, Aufbewahrungsfristen, Zugriffsrechten und Auswertungsregeln; ohne sie ist das System nicht einsetzbar. Wird betriebsübergreifend ausgewertet, ist eine Konzern-Betriebsvereinbarung mit dem Konzernbetriebsrat zu schließen. Der Agent unterstützt das durch konfigurierbare Aggregationsstufen (anonymisiert, pseudonymisiert, im Klartext) und eine dokumentierte Zweckbindung je Auswertung; die Pseudonymisierung ist Standardmodus, eine Re-Identifikation erfolgt nur bei dokumentiertem Verdacht.

Was passiert als Nächstes?

1

30 Minuten

Erstgespräch

Wir analysieren Ihren Prozess und identifizieren den optimalen Startpunkt.

2

1 Woche

Discover

Mapping Ihrer Entscheidungslogik. Regelwerke dokumentiert, Decision Layer designt.

3

3-4 Wochen

Build

Produktiver Agent in Ihrer Infrastruktur. Governance, Audit Trail, prüfungsfähig ab Tag 1.

4

12-18 Monate

Eigenständig

Voller Zugang zu Quellcode, Prompts und Regelversionen. Kein Vendor Lock-in.

Diesen Agent implementieren?

Wir bewerten Ihre Finance-Prozesslandschaft und zeigen, wie dieser Agent in Ihre Infrastruktur passt.