Wird KI IT-Prüfer ersetzen? Sicherheit im Zeitalter der Automatisierung

63 % KI-Exposition und 40 % Automatisierungsrisiko – das sind die Zahlen, die IT-Prüfer kennen. Die Exposition ist hoch, weil das meiste, was Sie tun – Kontrollen untersuchen, Transaktionen stichprobenartig prüfen, Zugriffsrichtlinien testen, Änderungsprotokolle überprüfen – digitale Arbeit ist, die KI berühren kann. Das Risiko ist niedriger, weil der wichtigste Teil Ihrer Arbeit professionelles Urteilsvermögen unter Unsicherheit ist – und dieses Urteil trägt regulatorisches Gewicht, das Organisationen nicht an eine Maschine delegieren können.

Dies ist eine der interessantesten Übergangsgeschichten in professionellen Dienstleistungen. IT-Prüfung war zwei Jahrzehnte lang eine relativ stabile Karriere. Sie wird jetzt von KI umgestaltet – nicht eliminiert – auf Weisen, die Gewinner und Verlierer innerhalb der gleichen Firmen schaffen werden. Die Prüfer, die verstehen, was sich verändert, werden mehr verdienen und an interessanteren Aufträgen arbeiten. Jene, die es nicht tun, werden genau die Arbeit erledigen, die KI rasch automatisiert – und das ist genau die Arbeit, für die Kunden zunehmend nicht mehr zahlen wollen.

Dieser Beitrag entschlüsselt, was 2025 mit IT-Prüfung passiert, wo KI hilft, wo sie nicht helfen kann und wie sich die Rolle von stichprobenbasierter Zusicherung hin zu kontinuierlicher, beweisreicher Verifikation verschiebt.

Was die Zahlen für die Karriere eines IT-Prüfers bedeuten

Der 63 %-Expositions-Score spiegelt wider, wie viel der Aufgabenliste eines IT-Prüfers mit Fähigkeiten aktueller KI-Systeme überlappt. Dokumentenprüfung, Kontrolltests, Stichprobenauswahl, Beweiserhebung, Arbeitspapier-Dokumentation, regulatorisches Mapping – all das hat KI-Tools, die bedeutende Teile der Arbeit ausführen können.

Das 40 %-Automatisierungsrisiko ist aus drei prüfungsberufsspezifischen Gründen niedriger. Regulatorische Verantwortlichkeit bedeutet, dass Prüfungsopinionen von namentlich genannten Personen unterzeichnet werden, die professionelle Verantwortung gemäß Standards des American Institute of Certified Public Accountants (AICPA), des Public Company Accounting Oversight Board (PCAOB) und des Institute of Internal Auditors (IIA) tragen. Unternehmen können KI keine Prüfungsopinion unterzeichnen lassen, und der Mensch in der Schleife ist daher durch professionellen Standard obligatorisch. Professionelle Skepsis ist die Doktrin, dass Prüfer Beweise mit angemessenem Zweifel begegnen müssen. KI-Systeme sind systematisch schlecht bei angemessener Skepsis – sie neigen dazu, zu akzeptieren, was ihnen gesagt wird. Mandantenorientiertes Urteilsvermögen ist der Teil der Arbeit, der Befunde Führungskräften erklären, Behebungsfristen aushandeln und die politische Dynamik von Prüfungsberichten managen beinhaltet. KI kann das nicht, weil sie den Raum nicht lesen kann. [Behauptung]

63 % Exposition und 40 % Risiko zusammen beschreiben eine Rolle, die substanziell umgestaltet wird: Vieles des Ausführens wird von KI absorbiert, aber die Entscheidungen verbleiben beim Menschen.

Was KI in IT-Prüfung heute tut

Konkret, wo KI produktiv in einem modernen Prüfungsauftrag erscheint:

Beweiserhebung. Verbindung zu Client-Systemen und das Abrufen von Benutzerlisten, Änderungsprotokollen, Konfigurationsexporten und Transaktionsstichproben ist zunehmend automatisiert. Tools wie Galvanize HighBond, AuditBoard und Workiva haben KI-gestützte Beweisanforderungen integriert, die umfassendere Abrufe produzieren als Prüfer früher manuell sammelten.

Kontrolltests. Routinetests der Gestaltungs- und Betriebseffektivität – funktioniert der Zugangsprovisionierungs-Workflow wie dokumentiert, unterliegen privilegierte Konten der vierteljährlichen Überprüfung, werden Konfigurationsänderungen durch Ticketing verfolgt – diese werden zunehmend automatisiert, wobei KI die Testlogik gegen abgerufene Beweise ausführt und Anomalien zur Prüferüberprüfung markiert.

Stichprobenziehung. Statistische Stichprobenauswahl war früher eine mühsame Tätigkeit mit Schichtung, Stichprobengrößenberechnung und Zufallszahlengenerierung. KI erledigt das jetzt in Sekunden, mit Dokumentation, die für Arbeitspapiere geeignet ist.

Dokumentationsentwurf. Die Beschreibung von Kontrollen, Systembeschreibungen für SOC-Berichte (System and Organization Controls) und Befund-Write-Ups für Management-Letter-Kommentare schreiben. KI übernimmt 60 % dieser Entwurfsarbeit in gut ausgestatteten Prüfungsteams. [Schätzung]

Regulatorisches Mapping. Zwischen Kontrollrahmen zu übersetzen – NIST Cybersecurity Framework, ISO 27001, CIS Controls, HIPAA, Sarbanes-Oxley Section 404 – ist schablonisierbare Arbeit, die KI kompetent erledigt. Der Prüfer verifiziert die Mappings statt sie von Grund auf zu konstruieren.

Anomalieerkennung in Transaktionspopulationen. Ungewöhnliche Buchungseinträge, verdächtige Zugriffsmuster oder Änderungsanfragen mit erhöhten Risikoindikatoren identifizieren. KI-Tools übernehmen das erste Screening und liefern die Elemente, die Prüferaufmerksamkeit verdienen.

Der Anthropic Economic Index und aktuelle Umfragen von professionellen Dienstleistungsfirmen zeigen, dass prüfungsbezogene KI-Adoption rasch wächst. Etwa 58 % der IT-Prüfer bei den größten Wirtschaftsprüfungsgesellschaften berichten von regelmäßiger KI-Nutzung, gegenüber 23 % vor zwei Jahren. [Fakt]

Was KI in IT-Prüfung nicht kann

Nun die Teile, die der Automatisierung widerstehen:

Urteil über Wesentlichkeit. Ob ein Kontrollmangel zum Rang einer erheblichen Schwäche oder eines wesentlichen Mangels aufsteigt, ist eine Ermessensentscheidung, die vom spezifischen Unternehmen, der spezifischen Kontrolle, dem spezifischen Abschlussauswirkung und dem spezifischen Jahr abhängt. KI-Systeme können dieses Urteil nicht fällen, weil das Framework ausdrücklich menschliche professionelle Verantwortung erfordert.

Beurteilung des Betrugsrisikos. Die Identifizierung von Bereichen eines Unternehmens mit erhöhtem Betrugsrisiko erfordert Verständnis des Unternehmens, der Menschen, der Anreizstrukturen und der historischen Muster. KI kann statistische Anomalien markieren; nur Menschen können diese Flaggen mit kontextuellem Wissen integrieren, um eine Betrugsrisikobewertung zu bilden.

Walkthroughs und Befragungen. Mit dem Controller, dem CFO und der IT-Leitung zusammenzusitzen, um zu verstehen, wie Prozesse tatsächlich funktionieren – nicht wie sie dokumentiert sind zu funktionieren – ist unabdingbar menschlich. Menschen beantworten Fragen gegenüber Menschen anders als gegenüber Formularen. Die Aufgabe des Prüfers besteht darin, auf das zu hören, was nicht gesagt wird.

Prüfungsbefunde aushandeln. Wenn das Prüfungsteam ein Problem identifiziert, ist der nächste Schritt, es dem Management zu präsentieren und die Behebung zu besprechen. Das ist oft konfrontativ, erfordert das Lesen von Körpersprache und Organisationsdynamiken und beinhaltet häufig mehrere Iterationen. Keine KI kann das tun.

Meinungsbildung und -unterzeichnung. Die Prüfungsopinion ist eine von einem Partner unterzeichnete Aussage beruflichen Glaubens. Standards erfordern, dass der unterzeichnende Partner ausreichende Verfahren direkt überwacht, um die Meinung zu bilden. KI kann keinen professionellen Glauben haben, und selbst wenn sie es könnte, akzeptieren Regulatoren keine maschinenunterzeichneten Opinionen.

Kommunikation mit Prüfungsausschüssen. Die ranghöchsten IT-Prüfer verbringen erhebliche Zeit damit, Befunde Prüfungsausschüssen öffentlicher Unternehmen zu präsentieren. Diese Präsentationen sind teils inhaltlich, teils politisch, und sie erfordern erfahrenes Urteilsvermögen darüber, was zu erwähnen, was zu verschieben und wie Probleme konstruktiv zu rahmen ist.

Wie verschiedene Prüfungsspezialitäten betroffen sind

Innerhalb der IT-Prüfung variiert die Auswirkung stark je nach Spezialität.

IT-Prüfer für Jahresabschlüsse (jene, die die Finanzprüfung unterstützen) haben eine Exposition von etwa 65 % und ein Risiko von etwa 42 %. Die Kontrolltestarbeit, die ihre Zeit in Anspruch nimmt, ist stark automatisierbar, aber das Urteil über Umfang und Schlussfolgerungen bleibt menschlich.

SOC-Berichtsprüfer (System and Organization Controls) haben eine Exposition von etwa 68 % und ein Risiko von etwa 45 %. Die standardisierte Natur von SOC-Berichten macht sie besonders anfällig für KI-Unterstützung, aber der Bericht trägt eine professionelle Meinung, die Menschen bilden müssen.

Cybersecurity-Prüfer haben eine Exposition von etwa 58 % und ein Risiko von etwa 35 %. Ihre Arbeit beinhaltet mehr technisches Urteilsvermögen darüber, ob spezifische Kontrollen tatsächlich identifizierte Bedrohungen mindern, und dieses Urteil ist schwerer zu automatisieren.

Interne IT-Prüfer bei großen Unternehmen haben eine Exposition von etwa 60 % und ein Risiko von etwa 38 %. Sie haben zusätzlichen Wert als ständige Mitarbeiter, die das Unternehmen tief verstehen, was KI nicht replizieren kann.

Compliance-Prüfer für HIPAA, PCI DSS und ähnliche Frameworks haben eine Exposition von etwa 72 % und ein Risiko von etwa 48 %. Ihre Arbeit ist am prozeduralsten und daher am stärksten exponiert, obwohl die höchstriskanten Compliance-Befunde immer noch menschliches Urteilsvermögen erfordern.

Das Muster über diese Spezialitäten hinweg: Je mehr die Arbeit das Ausführen standardisierter Verfahren beinhaltet, desto höher die Exposition und das Risiko. Je mehr die Arbeit Urteilsvermögen über spezifische Tatsachen und Umstände beinhaltet, desto niedriger.

Die verschwindenden Aufgaben

Bei der Betrachtung des O\*NET-Aufgaben-Inventars werden mehrere Tätigkeiten rasch in KI-Tools absorbiert.

Zugriffslisten auf unangemessene Berechtigungen überprüfen ist nun weitgehend KI-gestützt. Tools markieren Anomalien zur Prüferbestätigung, statt Prüfer zu zwingen, Tausende von Benutzern zeilenweise zu scannen.

Änderungs-Tickets mit Produktionsbereitstellungen vergleichen ist eine schablonisierte Abstimmung, die KI in Sekunden erledigt. Der Prüfer überprüft Ausnahmen.

Testverfahren und Ergebnisse in standardisierten Vorlagen dokumentieren. KI entwirft; der Prüfer überprüft und unterzeichnet.

Kontrollen gleichzeitig mehreren Frameworks zuordnen. Was früher ein Quartalsprojekt war, wird jetzt über Nacht von KI erledigt, wobei Prüfer die Mappings validieren.

Standard-Prüfungsberichte erstellen einschließlich SOC 1- und SOC 2-Lieferungen. KI übernimmt 70 % der Prosa, wobei der Prüfer für den wesentlichen Inhalt verantwortlich ist.

Für einen Junior-Prüfer in 2025 bedeutet das, dass ein Großteil dessen, was seine Stellenbeschreibung früher umfasste, absorbiert wurde. Die Implikation ist unangenehm: Senior-Prüfer sind produktiver denn je, während das Einstiegsausbildungsgelände für die nächste Prüfergeneration erheblich enger geworden ist.

Die wachsenden Aufgaben

Andere Teile der Rolle des IT-Prüfers wachsen.

KI-Governance und -Prüfung. Unternehmen nutzen zunehmend KI in ihren eigenen Abläufen, und Prüfer werden gebeten, Zusicherungen zu diesen KI-Systemen zu geben. Das ist wirklich neue Arbeit, und sie erfordert Prüfer, die sowohl Prüfungsmethodik als auch KI-Risiken verstehen. Das Institute of Internal Auditors veröffentlichte 2024 ein KI-Prüfungsrahmenwerk, und die Nachfrage nach KI-kenntnisreichen Prüfern ist explodiert.

Kontinuierliche Prüfung. Der Übergang von punktuellen Stichprobentests zu kontinuierlichem, automatisiertem Monitoring von Kontrollen. Das ist der heilige Gral, über den die Branche zwei Jahrzehnte lang gesprochen hat, und KI macht ihn endlich praktikabel. Prüfer, die kontinuierliche Prüfungsprogramme entwerfen und beaufsichtigen, sind rar und gut bezahlt.

Cloud- und SaaS-Prüfung. Da mehr Unternehmenssysteme auf Cloud-Plattformen migrieren, müssen Prüfer Kontrollen in AWS, Microsoft Azure, Google Cloud und großen SaaS-Anbietern testen. Das erfordert technisches Verständnis von Cloud-Architekturen und gemeinsamen Verantwortungsmodellen.

Drittanbieter-Risikoprüfung. Unternehmen sind von mehr Drittanbietern denn je abhängig, und viele Regulatoren verlangen, dass Drittanbieter-Risikoprogramme formal geprüft werden. Diese Arbeit wächst in Finanzdienstleistungen, Gesundheitswesen und zunehmend anderen Sektoren.

Cybersecurity-Zusicherung. Vorstände wollen unabhängige Zusicherungen über die Cybersicherheitslage, und traditionelle Sicherheitstests allein reichen nicht aus. Prüfer werden gebeten, formale Opinionen zur Sicherheitskontrolleffektivität zu geben – das ist hochurteilsintensive Arbeit, die KI nicht ausführen kann.

Vergütung und Karrierewege in 2025

Der IT-Prüfungsarbeitsmarkt ist gesund, aber zweigeteilt. Senior-IT-Prüfungsmanager und Partner bei großen Firmen verdienen 220.000 bis 520.000 Dollar Gesamtvergütung, wobei Partner bei den Big-Four-Firmen das obere Ende beanspruchen. Senior Manager in der Industrie (interne Prüfungsfunktionen bei großen börsennotierten Unternehmen) verdienen 185.000 bis 300.000 Dollar. Mitarbeiter- und Senior-Associate-Rollen hingegen verzeichnen bescheidenes Gehaltswachstum, da die KI-Absorption ihrer Arbeit sie weniger rar macht. [Fakt]

Die strategische Botschaft für einen IT-Prüfer auf jeder Ebene: Investieren Sie in die Teile der Arbeit, die KI nicht absorbiert – Urteilsvermögen, Kommunikation, technische Tiefe und KI-Governance-Kompetenz – denn das sind die Teile, die Ihre Trajektorie im nächsten Jahrzehnt bestimmen werden.

Worauf Sie sich bis 2030 konzentrieren sollten

Ein spezifischer Leitfaden für IT-Prüfer, die ihre nächsten fünf Jahre planen:

Werden Sie versiert in KI-Risiken. Lesen Sie das NIST AI Risk Management Framework, das IIA AI Auditing Framework und den EU AI Act. Unternehmen brauchen Prüfer, die diese Sprache sprechen, und es gibt derzeit zu wenige davon.

Bauen Sie Cloud-Prüfungstiefe auf. Wählen Sie AWS, Azure oder Google Cloud und lernen Sie es gut genug, um Kontrolltests für Cloud-native Systeme zu entwerfen. Die Prüfer, die das können, sind rar und erzielen Premium-Honorare.

Entwickeln Sie Kommunikationsfähigkeiten aggressiv. Die Senior-Prüfer, die befördert werden, sind jene, die Befunde Führungskräften und Prüfungsausschüssen klar und konstruktiv präsentieren können. KI bedroht diese Fähigkeit nicht; sie verstärkt ihre Wichtigkeit.

Lernen Sie das Design kontinuierlicher Prüfungen. Dorthin entwickelt sich die Branche, und die Menschen, die kontinuierliche Prüfungsprogramme bei großen Unternehmen gestalten, sind rar. Engagieren Sie sich mit Vordenkerschaft von IIA, AICPA-Forschung zur kontinuierlichen Prüfung und Veröffentlichungen großer Firmen.

Bleiben Sie nah bei Mandanten. Die Beziehungen, die Sie mit Mandantenmanagement und Prüfungsausschüssen aufbauen, sind dauerhafte Vermögenswerte, die KI nicht kopieren kann. Investieren Sie in sie.

Die ehrliche langfristige Perspektive

Bis 2030 wird IT-Prüfung sich erheblich von heute unterscheiden. Stichprobenbasierte Kontrolltests werden weitgehend automatisiert sein. Kontinuierliches Monitoring wird bei großen Unternehmen Standard sein. Die Zusammensetzung der Prüfungsteams wird sich in Richtung Senior-Urteilsrollen verschieben und weg von großen Pyramiden juniorhafter Mitarbeiter. Prüfungsfirmen werden wahrscheinlich weniger Menschen beschäftigen, aber sie pro Kopf besser bezahlen – mit dem Überschusskapazitäten, die in Beratungsdienstleistungen rund um KI-Risiken und aufkommende Compliance-Bereiche reinvestiert werden.

Für einen individuellen Prüfer, der diesen Beitrag liest, ist die strategische Implikation klar. Lehnen Sie sich in die Teile der Arbeit, die Urteilsvermögen, Kommunikation und technische Tiefe erfordern. Werden Sie mit KI als Werkzeug statt als Bedrohung vertraut. Die Branche stirbt nicht; sie rüstet auf, und die Prüfer, die mit ihr aufrüsten, werden interessantere und besser vergütete Karrieren haben als je zuvor.

Für aufgabenbasierte Automatisierungsaufschlüsselungen nach Prüfungsspezialität, Gehaltstrends nach Region und einen detaillierten Zeitplan erwarteter Veränderungen besuchen Sie unser Berufsprofil für IT-Prüfer.

---

Analyse auf Basis von O\NET-Aufgaben-Automatisierungsmodellierung, Anthropic Economic Index (2025), IIA-Forschung, AICPA-Berufsstandards und OECD AI Policy Observatory-Berichten. KI-gestützte Recherche und Entwurf; menschliche Überprüfung und Redaktion durch das AIChangingWork-Redaktionsteam.*