Als die Big-Four-Wirtschaftsprüfungsgesellschaft EY Anfang des Jahres ein künstliches Intelligenzsystem ausprobierte, das darauf ausgelegt war, Betrug auf den Konten einiger ihrer britischen Wirtschaftsprüfungskunden zu erkennen, waren die Ergebnisse verblüffend.
Laut Kath Barrow, EYs Assurance Managing Partner für Großbritannien und Irland, hat das neue System verdächtige Aktivitäten bei zwei der ersten zehn überprüften Unternehmen festgestellt. Die Mandanten bestätigten anschließend, dass es sich in beiden Fällen um Betrug gehandelt habe.
Dieser frühe Erfolg verdeutlicht, warum einige in der Branche glauben, dass KI ein großes Potenzial zur Verbesserung der Prüfungsqualität und zur Reduzierung der Arbeitsbelastung hat. Sie hoffen, dass die Fähigkeit von KI-gestützten Systemen, riesige Datenmengen aufzunehmen und zu analysieren, ein leistungsstarkes neues Werkzeug darstellen könnte, um Prüfer auf Anzeichen von Fehlverhalten und andere Probleme aufmerksam zu machen.
Dennoch sind sich die Prüfer stark darüber uneinig, inwieweit sie sich auf eine Technologie verlassen können, die noch nicht umfassend getestet wurde und oft nur unzureichend verstanden wird.
Einige Wirtschaftsprüfungsgesellschaften sind skeptisch, ob KI-Systeme mit ausreichend hochwertigen Informationen versorgt werden können, um die vielfältigen potenziellen Betrugsformen zuverlässig zu erkennen. Es gibt auch einige Bedenken hinsichtlich des Datenschutzes, wenn Prüfer vertrauliche Kundeninformationen zur Entwicklung von KI verwenden.
Die Fragen zeigen, dass es deutliche Unterschiede in der Herangehensweise zwischen den großen britischen Wirtschaftsprüfungsgesellschaften gibt. Während EY es ablehnte, die Details seiner Software oder die Art der entdeckten Betrugsfälle preiszugeben, sagte Barrow, die Ergebnisse deuteten darauf hin, dass die Technologie „Beine“ für die Prüfung habe.
„Das scheint etwas zu sein, das wir entwickeln oder erforschen sollten“, sagte sie.
Allerdings wies Simon Stephens, AI-Leiter für Audit und Assurance im britischen Unternehmen von Deloitte, einer weiteren der vier großen Wirtschaftsprüfungsgesellschaften, darauf hin, dass Betrugsfälle relativ selten seien und sich tendenziell voneinander unterschieden. Das würde bedeuten, dass KI-Systeme nicht unbedingt verräterische Muster erkennen müssten.
„Betrug ist . . . einzigartig und jedes wird auf eine etwas andere Art und Weise begangen“, sagte Stephens. „Von Natur aus sind sie darauf ausgelegt, Sicherheitsvorkehrungen durch neuartige Technologieanwendungen oder die Ausnutzung neuer Schwachstellen zu umgehen, und KI spielt hier derzeit keine gute Rolle.“
Die Regulierungsbehörden dürften das letzte Wort darüber haben, wie die Technologie eingesetzt werden kann. Jason Bradley, Leiter der Assurance-Technologie beim britischen Financial Reporting Council, der Prüfungsaufsichtsbehörde, sagte, dass KI bei angemessenem Einsatz Möglichkeiten biete, „eine verbesserte Prüfungsqualität und -effizienz zu unterstützen“.
Er warnte jedoch davor, dass Unternehmen über das Fachwissen verfügen müssten, um sicherzustellen, dass die Systeme den richtigen Standards entsprechen. „Da die KI-Nutzung zunimmt, müssen Prüfer über die Fähigkeiten verfügen, KI-Systeme zu kritisieren, um sicherzustellen, dass die Ergebnisse korrekt sind und sie in der Lage sind, Tools auf standardkonforme Weise einzusetzen“, sagte er.
Während herkömmlicher Audit-Software mitgeteilt werden muss, welche Datenmuster auf Betrug oder andere Probleme hinweisen, werden KI-Systeme mithilfe von maschinellem Lernen und Daten aus mehreren bekannten Fällen von Fehlverhalten in der Vergangenheit darauf trainiert, Probleme zu erkennen. Mit der Zeit sollten sie darin besser werden, da sie Erfahrungen sammeln.
Die Technologie könnte besonders hilfreich sein, wenn sie die Arbeitsbelastung der Prüfer verringert. Unternehmen auf der ganzen Welt haben Schwierigkeiten, Personal auszubilden und zu rekrutieren. Es könnte auch dazu beitragen, die Standards zu erhöhen: In den letzten Jahren haben Prüfer schwerwiegende finanzielle Probleme übersehen, die zum Zusammenbruch von Unternehmen wie dem Outsourcer Carillion, dem Einzelhändler BHS und der Café-Kette Patisserie Valerie geführt haben.
Laut Barrow nutzte das Experiment von EY ein maschinelles Lerntool, das auf „viele, viele Betrugspläne“ trainiert worden war und sowohl aus öffentlich zugänglichen Informationen als auch aus früheren Fällen, in die das Unternehmen verwickelt war, stammte. Während bestehende, weit verbreitete Software nach verdächtigen Transaktionen sucht, sagte EY, sein KI-gestütztes System sei ausgefeilter. Es wurde darauf trainiert, nach den Transaktionen zu suchen, die typischerweise zur Vertuschung von Betrugsfällen verwendet werden, sowie nach den verdächtigen Transaktionen selbst. Die beiden Betrugsversuche seien bei den zehn ersten Testkunden aufgedeckt worden, weil in den Trainingsdaten ähnliche Muster aufgefallen seien, so das Unternehmen.
„Es sagt nur: Das ist etwas, das Sie weiter erforschen sollten“, sagte Barrow über das KI-System, das sie als „Co-Pilot“ für Prüfer bezeichnete. „Es konzentriert unsere Bemühungen, mehr zu verstehen.“
Wieder andere Unternehmen bezweifeln, dass KI-Systeme intelligent genug sind, um raffinierte Betrugsfälle aufzudecken. KPMG UK, ein weiterer Wirtschaftsprüfer der Big Four, wiederholte die Bedenken von Stephens von Deloitte.
„Betrug ist von Natur aus unvorhersehbar und daher ist es eine Herausforderung, bekannte Betrugsfälle zum Trainieren von Modellen für maschinelles Lernen zu nutzen“, sagte KPMG.
Stephens räumte ein, dass die Technologie auch in der Wirtschaftsprüfung nützlich sei. Aber er sah darin eine weitaus begrenztere Rolle. „KI kann einige der alltäglicheren, wiederholbaren Aufgaben automatisieren und ermöglicht es unseren Prüfern, sich auf die Bereiche mit dem größten Risiko zu konzentrieren“, sagte er.
Deloitte beschränkt den Einsatz von KI derzeit auf weniger komplexe Aufgaben und gibt klare Anweisungen dazu, auf welche Arten von Anomalien in Unternehmenskonten zu achten ist.
Ein Problem, so Stephens, bestehe darin, dass ein Unternehmen seine detaillierten Finanzdaten möglicherweise als vertrauliche Informationen betrachte. Das würde es schwierig machen, diese privaten Informationen zum Trainieren eines Systems zu verwenden, das anschließend ein anderes Unternehmen prüft.
„Jeder, der KI entwickelt, muss sich dessen bewusst sein“, sagte er.
Barrow räumte ein, dass es Herausforderungen gab. Sie sagte, es sei für die Prüfer von entscheidender Bedeutung zu verstehen, wie die Codierung des KI-Systems funktionierte, welche wahre Bedeutung die von ihm erzeugten Ergebnisse hatten und welche Art von Daten für das Training verwendet wurden.
„Wir müssen es ergänzen. . . Wir wenden die skeptische Linse des Prüfers an, damit wir uns darüber im Klaren sind, dass es seinen Zweck erfüllt“, sagte sie.
Sie erkannte auch das Problem, proprietäre Unternehmensinformationen zum Trainieren von KI-Systemen zu verwenden. Sie sagte jedoch, es gäbe genügend öffentlich zugängliche Informationen, um die eigene Fallarbeit von EY zu ergänzen und sinnvolle Schulungen für die unternehmenseigenen KI-Systeme bereitzustellen.
„Technologie wird bereits in großem Umfang eingesetzt, um uns bei der Risikobewertung und Risikoidentifizierung zu helfen“, sagte Barrow. „KI wird zunehmend ein weiteres Werkzeug sein, das uns dafür zur Verfügung steht.“