ISA 240 Revised: Warum der neue Fraud-Standard KI fast zwingend macht

Der überarbeitete ISA 240 zu dolosen Handlungen ist für Abschlüsse ab dem 15. Dezember 2026 verbindlich. Das bedeutet: Erstmalig für Geschäftsjahre, die am 31. Dezember 2027 enden, müssen Wirtschaftsprüfer deutlich umfangreicher dokumentieren, wie sie das Risiko von Fraud bewertet und welche Verfahren sie eingesetzt haben. Wer bislang auf Stichproben und Interviewrunden setzte, wird mit den neuen Anforderungen an seine Dokumentationspflichten scheitern. Die Lücke zwischen regulatorischem Anspruch und manueller Prüfungsrealität wird so groß, dass maschinelle Unterstützung fast unvermeidlich wird.

Die Veränderung auf einen Blick

Der ISA 240 (Revised) verschärft drei Bereiche massiv. Erstens die erweiterte Risikobeurteilung: Der Prüfer muss nicht nur das Risiko doloser Handlungen auf Ebene des Abschlusses beurteilen, sondern expliziter auf Einzeltransaktionen und Journal Entries eingehen. Zweitens die verstärkte Kommunikation: Das Management und die Geschäftsführung müssen früher und detaillierter über identifizierte Risiken informiert werden. Drittens die höheren Dokumentationsanforderungen: Jeder Schritt der Fraud-Risikobeurteilung muss nachvollziehbar dokumentiert werden. Nicht nur das Ergebnis, sondern auch die Herleitung.

Das Institut der Wirtschaftsprüfer hat diesen Standard bereits in die IDW Prüfungsstandards überführt. Für mittelständische WP-Gesellschaften mit 5 bis 15 Prüfern bedeutet das einen erheblichen Mehraufwand. Die bisherige Praxis, bei der ein erfahrener Prüfer durch Erfahrung und Bauchgefühl auffällige Posten identifiziert, reicht unter dem neuen Standard nicht mehr aus.

Warum manuelle Prüfung nicht mehr ausreicht

Eine mittelständische WP-Prüfung umfasst typischerweise 8.000 bis 15.000 Buchungszeilen pro Mandant. Bei einem Portfolio von 40 Mandaten sind das bis zu 600.000 Zeilen pro Jahr. Der überarbeitete ISA 240 verlangt nun, dass der Prüfer systematisch nach Anomalien sucht. Nicht nur in den Hauptbüchern, sondern auch in den Verdichtungen und Zwischensalden.

Das manuelle Durchsuchen solcher Datenmengen ist zeit- und kostenmäßig nicht mehr darstellbar. Ein erfahrener Prüfer benötigt für die Analyse eines Mandanten mit 10.000 Buchungszeilen etwa drei Tage. Unter den neuen Anforderungen verdoppelt sich dieser Aufwand mindestens. Gleichzeitig steigt das Haftungsrisiko, wenn eine auffällige Transaktion übersehen wird, die später als Fraud-Fall bekannt wird.

Hier wird deutlich, warum die bloße Aufstockung von Personal keine Lösung ist. Die Suche nach qualifizierten Prüfern ist bereits schwierig. Die Wirtschaftsprüferkammer zählt rund 21.000 Mitglieder. Der Bedarf übersteigt das Angebot, und der zusätzliche Arbeitsaufwand durch ISA 240 (Revised) verschärft dieses Missverhältnis weiter.

Was KI-gestützte Anomalieerkennung leisten muss

Hier kommt die Technologie ins Spiel. Aber nicht als generische Automatisierung, sondern als gezielte Verstärkung der Prüfungsmethodik. Eine sinnvolle Lösung benötigt vier Komponenten, die zusammenwirken müssen.

Die erste Komponente ist eine Rules Engine als Grundlage. Klassische Regeln erkennen bekannte Fraud-Muster. Ungerade Beträge am Wochenende, Rundungsbeträge, wiederkehrende Zahlungen an denselben Empfänger knapp unter Genehmigungsgrenzen. Diese Rules Engine ist nicht ersetzbar, sondern bildet die Basis jeder automatisierten Prüfung.

Die zweite Komponente ist die Muster-Erkennung über historische Daten. Machine-Learning-Modelle identifizieren Abweichungen vom normalen Buchungsverhalten eines Mandanten. Was bei einem Handelsunternehmen typisch ist, kann bei einem Produzenten ein Indikator sein. Die Muster-Erkennung lernt also mandantenspezifisch und wird über die Zeit präziser.

Die dritte Komponente ist die Wissensbasis des Prüfers. Die Ergebnisse der automatisierten Analyse müssen in einen Kontext gestellt werden. Eine Intelligenz-Schicht verknüpft die identifizierten Anomalien mit dem Branchenwissen, den Vorjahresabschlüssen und den Risikobeurteilungen des Prüfers. So entsteht keine isolierte Warnung, sondern eine bewertete Handlungsempfehlung.

Die vierte Komponente ist eine Middleware zur Integration. Die Lösung muss über eine Middleware an bestehende Prüfungssoftware und Buchhaltungssysteme angebunden werden. Ohne diese Integration entsteht ein paralleles System, das mehr Verwaltungsaufwand erzeugt als es nutzt.

Was das für mittelständische WP-Praxen bedeutet

Die Umstellung auf den ISA 240 (Revised) ist kein IT-Projekt, sondern eine Methodenfrage. WP-Gesellschaften haben drei Optionen, um den Mehraufwand zu bewältigen.

Die erste Option ist die Personalaufstockung. Bei durchschnittlich 80.000 Euro Jahreskosten pro Prüfer und einem Mehrbedarf von 20 bis 30 Prozent ist das für viele Gesellschaften wirtschaftlich nicht tragbar. Zudem finden sich die gesuchten Fachkräfte auf dem Markt kaum.

Die zweite Option ist die Mandantenreduzierung. Weniger Mandanten bei gleichem Team bedeutet höhere Stundensätze oder geringere Erträge. In einem Markt, in dem Mandanten Loyalität erwarten, ist das strategisch riskant.

Die dritte Option ist die Methodik-Automatisierung. Eine gezielte Automatisierung der Routineanalyse überlässt den Prüfern die Bewertung komplexer Fälle. Der Einstieg erfordert keine neue Infrastruktur. Eine Intelligenz-Schicht, die über Middleware an DATEV, SAP oder andere Systeme angebunden wird, kann innerhalb von vier bis sechs Wochen eingerichtet werden. Die Wissensbasis wird dabei mit den spezifischen Prüfungsmethoden der Gesellschaft gefüttert. Nicht mit generischen Branchenregeln.

Praxisbeispiel: Wie eine WP-Gesellschaft den Standard meistert

Eine WP-Gesellschaft mit 12 Mitarbeitern und 35 Mandanten hat die Anomalieerkennung für ihre Buchungsdaten automatisiert. Die Rules Engine prüft täglich 400.000 Buchungszeilen auf bekannte Fraud-Muster. Die Muster-Erkennung markiert zusätzlich 2 bis 3 Prozent der Zeilen als ungewöhnlich. Die Prüfer prüfen nur noch die markierten Fälle.

Das Ergebnis: Der Zeitaufwand pro Mandat sank um 40 Prozent. Die Dokumentationsqualität stieg messbar, weil jede Analyse nachvollziehbar protokolliert wird. Die Gesellschaft konnte zwei zusätzliche Mandate übernehmen, ohne Personal aufzustocken. Die Investition amortisierte sich innerhalb von sechs Monaten.

Verwandte Inhalte

• KI Audit-Vorbereitung: Warum WP-Praxen das falsche dokumentieren
• KI-Compliance im Mittelstand umsetzen: Die 10 Pflichtdokumente und ein 30-Tage-Plan
• KI für Steuerberater: Praxisleitfaden mit 5 Anwendungsfeldern
• KI ERP Integration im Mittelstand: So bauen Sie eine Intelligenz-Schicht über SAP, Sage, Weclapp und SelectLine
• Middleware: Definition und Bedeutung im Mittelstand