Iliad
Siddiq

Die Anwendung von KI für das CMS – Chancen und Risiken

Das Compliance-Management-System (CMS) zielt auf die Einhaltung der Regelungen ab, die die gesetzlichen Vertreter des Unternehmens auf Basis der festgelegten Ziele definiert haben. Neben internen Richtlinien umfassen die Regelungen auch externe regulatorische Anforderungen, derer die Unternehmen abhängig von ihrer Größe und Struktur unterlegen sind. Die Adaption auf eine sich ständig verändernde rechtliche Umgebung, nicht zuletzt durch die Anforderungen im Bereich ESG (Umwelt, soziale Verantwortung, Governance), stellt oftmals eine große Herausforderung für das CMS der Unternehmen dar. Neben dem dynamischen rechtlichen Umfeld kommen neue Entwicklungen und Herausforderungen auf das CMS der Unternehmen zu, die insbesondere technologischer Natur sind – die Einführung und Anwendung von Künstlicher Intelligenz (KI) für das CMS. Dieser Beitrag stellt exemplarische Anwendungsbereiche von KI für das CMS vor und analysiert die damit verbundenen Chancen und Risiken.

I. Begriffsdefinition KI

KI bzw. ein KI-System wird gemäß der Begriffsbestimmung der KI-Verordnung (KI-VO) als „ein maschinengestütztes System angesehen, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können“1.

II. Einordnung KI und CMS

Der zunehmende Reifegrad der KI-Technologie sowie der regulatorische Rahmen, insbesondere die KI-VO, ermöglichen die Anwendung von KI im Bereich Compliance bzw. CMS. Das CMS kann durch die Anwendung von KI weiter automatisiert werden. Die Anwendung und Nutzung von KI innerhalb des CMS können Auswirkungen für die Aufbau- und Ablauforganisation der Compliance-Organisation haben. Zudem können neue Risiken entstehen, die es zu beachten und zu managen gilt. Da KI eine Möglichkeit der Weiterentwicklung des eigenen CMS bietet, sollten sich die Funktionsträger im Unternehmen, insbesondere die (Chief) Compliance Officer2 mit dem Thema beschäftigen und die Potenziale von KI für das eigene CMS identifizieren.

III. Anwendungsbeispiele von KI entlang der CMS-Elemente

Die beispielhaften KI-Anwendungsfälle werden in diesem Beitrag entlang der Elemente eines CMS aufgezeigt. Die Elemente des CMS orientieren sich dabei an den Prüfungsstandards des Instituts der Wirtschaftsprüfer (IDW) in Deutschland für das CMS, dem IDW PS 980 n. F. (Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen – Stand: 09. 2022) und werden zudem angereichert mit weiteren Anforderungen der Standards von der Internationalen Organisation für Normung, der IS0 37301:2021 (International standard for compliance management systems – Requirements with guidance for use) sowie der kürzlich veröffentlichten neuen ISO 37302:2025 (International standard for compliance management systems – Guidance for the evaluation of effectiveness), die, wie der Name bereits suggeriert, Leitlinien und Bewertungskriterien zur Beurteilung der Wirksamkeit eines CMS enthält.

1. Compliance-Kultur

Die grundsätzliche Anwendung von KI im Rahmen des CMS bedarf zunächst der schriftlichen Verankerung des Umgangs mit KI und der zugehörigen Anforderungen, Leitplanken und Risiken. Nach dem IDW PS 980 gibt es sogenannte „kulturprägende“ Determinanten3. Diese zeichnen sich dadurch aus, dass sie Einfluss auf das interne Risikomanagement- und Kontrollumfeld, unter anderem Risikokultur, Kontrollkultur, Revisionskultur, haben.4

Die Anwendung von KI für das CMS hat das Potenzial, mitunter einen starken Einfluss auf die Risikomanagementprozesse des Unternehmens zu nehmen – sowohl in risikomitigierender als auch in risikoauslösender Hinsicht. Insofern kann, vorausgesetzt es wird genutzt, die Art und Weise der Anwendung und des Umgangs mit KI in der Auflistung der aktuellen „kulturprägenden Determinanten“ im Rahmen der Anwendungshinweise des IDW PS 980 ergänzt werden. Im Sinne der Operationalisierung der Compliance-Kultur ist es empfehlenswert, eine schriftliche Fixierung in Bezug auf die Anwendung und den Umgang mit KI für das CMS inklusive der zugrundeliegenden regulatorischen Grundlagen wie z. B. KI-VO, DSGVO vorzunehmen.5 Die Einbettung des Themas kann in den für den Bereich Compliance bzw. CMS typischen Dokumenten und Kommunikation erfolgen, wie etwa der CMS-Beschreibung als zentrales Dokument für das CMS insgesamt, dem Code of Conduct (CoC), Compliance Newsletter und/oder über den „Tone from the Top“ seitens des Managements.6

2. Compliance-Ziele

In Anlehnung an den IDW PS 980 sind Compliance-Ziele in Übereinstimmung mit den allgemeinen Unternehmenszielen sowie mit der Unternehmensstrategie und den für das Unternehmen bedeutsamen Regeln zu definieren.7 Auf der Basis sind die wesentlichen Themenbereiche für das CMS abzugrenzen8. Die festgelegten Themenbereiche bilden wiederum die Grundlage für die weitergehende systematische Aufnahme und Beurteilung der Risiken für Regelverstöße, bei denen KI-Anwendungen in Betracht gezogen werden können (vgl. Kapitel III, 3. Compliance-Risiken).

3. Compliance-Risiken

Die Compliance-Risiken sind für die abgegrenzten relevanten CMS-Themenbereiche zu identifizieren und zu beurteilen.9 Die Identifikation und Beurteilung der Compliance-Risiken bilden die Grundlage für die Implementierung des CMS und die Zuweisung geeigneter und angemessener Ressourcen und Prozesse zur Steuerung der identifizierten Compliance-Risiken.10

a) Identifizierung, Bewertung und Überwachung neuer und geänderter Compliance-Anforderungen

Gemäß Anhang A „Guidance for the use of this document“ der ISO 37301 sollten Unternehmen zwingende und verbindliche Compliance-Anforderungen, wie z. B.

• Gesetze und Vorschriften,
• Genehmigungen,
• Lizenzen oder andere Formen der Autorisierung,
• Anordnungen,
• Regeln oder Leitlinien von Aufsichtsbehörden,
• Urteile von Gerichten oder Verwaltungsgerichten umsetzen.

Zudem können sie freiwillige Compliance-Anforderungen, wie bspw.

• Vereinbarungen mit gesellschaftlichen Gruppen oder Nichtregierungsorganisationen,
• Vereinbarungen mit öffentlichen Behörden und Kunden,
• organisatorische Anforderungen, wie z. B. Richtlinien und Verfahren,
• freiwillige Grundsätze oder Verhaltenskodizes,
• einschlägige Organisations- und Industriestandards in Betracht ziehen.11

Im kürzlich erschienenen ISO 37302 sind nun Bewertungskriterien für die Ergebnisse und Auswirkungen im Zusammenhang mit der Ermittlung und Aktualisierung von Compliance-Verpflichtungen dargestellt. Hiernach ist die höchste Effektivitätsstufe (Stufe 5) erreicht, wenn Unternehmen die verbindlichen und freiwilligen Compliance-Verpflichtungen sowie deren Auswirkungen auf die Geschäftstätigkeit der Organisation umfassend und zeitnah ermitteln, dokumentieren sowie anschließend in die Compliance-Risikobewertung einfließen lassen.12

Die Identifizierung und Überwachung der für das eigene CMS relevanten neuen und geänderten regulatorischen Vorschriften kann durch KI-gestützte Technologie automatisiert durchgeführt werden. In diesem Kontext ist vor allem die KI-Technologie Natural Language Processing (nachfolgend NLP) zu nennen. NLP ermöglicht die strukturierte Analyse und Verarbeitung von Gesetzestexten sowie weiteren Dokumenten mit regulatorischem Inhalt. Angedockt und angereichert kann das NLP mit den entsprechenden Quellen (unter anderem Behörden- und Institutswebseiten) aus den zuvor genannten verbindlichen und freiwilligen Compliance-Anforderungen werden. Eine wesentliche Follow-Up-Tätigkeit nach der Identifizierung von neuen und geänderten regulatorischen Anforderungen ist die Durchführung der sogenannten Impact-Analyse, also der Klärung der Fragen, inwiefern sich die Anforderungen im eigenen Unternehmen auswirken und welche Prozesse, Funktionen und Bereiche betroffen sind.

Die Impact-Analyse war bisher ein teilweise manueller und recht mühsamer Prozess, in dem mehrere Bereiche und unterschiedliche Funktionsträger eingebunden waren, um die Auswirkungen gesamthaft für das Unternehmen zu beurteilen. Durch sogenannte Machine Learning (ML) -Modelle können automatisierte Bewertungen in Bezug auf Auswirkungen für die jeweiligen Unternehmensbereiche und -prozesse erfolgen. ML-Modelle basieren auf Datenmustern und Algorithmen, die auf Analyse und Bewertung ausgelegt sind.

Ein Risikoaspekt, der bei Nutzung von ML-Modellen zu beachten ist, ist die regelmäßige Überprüfung der Analyseergebnisse sowie die Validierung der Algorithmen auf Richtigkeit und Nachvollziehbarkeit.

b) Geschäftspartnerprüfungen

Die Prüfung von Geschäftspartnern, wie z. B. Kunden, Lieferanten und Dienstleistern, gehört zum festen Bestandteil einer umfassenden Risikobeurteilung im Unternehmen.13 Die Einbeziehung von Geschäftspartnern bei der Evaluation von Compliance-Risiken ist ein Kriterium für die Erfüllung der höchsten Effektivitätsstufe.14 Ebenfalls durch die KI-Technologien NLP und ML kann eine Geschäftspartnerprüfung automatisiert bzw. KI-gestützt durchgeführt werden. Um die Qualität dieser Geschäftspartnerprüfungen zu gewährleisten, ist die Verzahnung zu den relevanten Datenquellen von großer Bedeutung. Wichtige Datenquellen sind bspw.

• (weltweite) Sanktionslisten,
• Strafregister,
• Handelsregister samt Informationen zu Eigentümerverhältnissen,
• Social Media-Kanäle,
• Medienberichterstattungen und
• der Corruption Perceptions Index (kurz CPI) Index15 von der Transparency International zur ersten Einordnung bzw. Wahrnehmung einer Korruptionsgefahr.

Gekoppelt mit weiteren Risikofaktoren, wie bspw. Branchen- und Länderrisiken, können ML-Modelle eine Risikobewertung der Geschäftspartner vornehmen. Einen enormen Mehrwert bietet dabei die Überwachung und Bewertung der Daten in Echtzeit, d. h. bei erfolgreicher Koppelung der genannten Quellen können Geschäftspartnerprüfungen in hoher Frequenz und im Falle von Änderungen, bspw. Eigentümerwechsel beim Geschäftspartner, wiederholt stattfinden. Dies kann mitunter zu einer modifizierten Risikobewertung führen. Die Risikobewertung dient wiederum als Grundlage für das Unternehmen zur Entscheidung einer erstmaligen oder weiteren Zusammenarbeit mit dem Geschäftspartner bzw. über die Festlegung möglicher mitigierender Maßnahmen, wie bspw. regelmäßiger Vor-Ort-Audits beim Geschäftspartner.

4. Compliance-Programm

Bei der Definition von passgenauen Compliance-Maßnahmen, um die zuvor im Rahmen der Compliance-Risikoanalyse identifizierten Risiken zu mitigieren, ist nach wie vor ein angemessenes „Professional Judgement“ und Augenmaß für die Definition von präventiven und gegebenenfalls detektiven Maßnahmen durch die Entscheidungsträger vonnöten16 – diese Eigenschaften müssten einem KI-gestützten System zunächst angeeignet werden. Bei der Durchführung und Erweiterung von Compliance-Programmelementen hingegen kann KI gut eingesetzt werden.

Neben der Etablierung eines Hinweisgebersystems kann man im Rahmen des Compliance-Programms eine zusätzliche KI-gestützte Anlauf- bzw. Beratungsstelle für Compliance-relevante Fragestellungen über einen sogenannten Compliance- oder CMS-Chatbot für die eigenen Mitarbeitenden entwickeln. Der Compliance- bzw. CMS-Chatbot kann für folgende Zwecke eingesetzt werden:

• Grundsätzliche Erteilung von Auskünften zu Compliance-bezogenen Fragestellungen auf Basis der zugrundeliegenden und relevanten Compliance-Richtlinien, -Anweisungen und sonstigen schriftlich fixierten Regelungen zum CMS.
• Bereitstellung von Informationen zu relevanten Compliance-bezogenen Prozessen und Vorgängen, bspw. Genehmigung von Sponsoring, Vorgehensweise bei Spenden und Einladungen, Annahme von Geschenken etc. (auf Basis der zugehörigen Richtlinien).
• Verweis samt Bereitstellung der Links zu den relevanten Prozessen, Richtlinien und Anweisungen.
• Terminfindung und -vereinbarung mit einem Compliance-Mitarbeitenden (z. B. Compliance Officer, KI-Compliance-Officer, Menschenrechtsbeauftragter).

Abhängig vom Scope des CMS sowie des gewünschten Geltungsbereichs kann der Compliance- bzw. CMS-Chatbot um folgende Bereiche erweitert werden:

• CMS-Themenbereiche: Am Beispiel des Kartellrechts könnte der Chatbot Informationen bzw. die internen Regelungen zu den Verhaltensgrundsätzen in Bezug auf den Austausch von wettbewerbssensiblen Informationen, z. B. Preisabsprachen, bereitstellen.
• Geschäftspartner und Lieferanten: In diesem Kontext kann der Chatbot Fragen auf Basis der relevanten Informationen aus bspw. dem Supplier Code of Conduct beantworten und auf relevante Links, Prozesse und Ansprechpartner im Unternehmen verweisen. Voraussetzung hierfür ist, ähnlich wie beim Hinweisgebersystem, die Erweiterung des Zugangs auf relevante Geschäftspartner und Lieferanten.

Technisch ist der Compliance- bzw. CMS-Chatbot mit den relevanten Informationen zu den genannten Compliance-Prozessen und -Richtlinien zu füttern. Dies kann unter anderem mit den KI-Ansätzen „Retrieval Augmented Generation“ und/oder „Pre-Prompt Engineering“ erfolgen. Diese Ansätze ermöglichen zum einen die Verknüpfung zu den relevanten (internen oder externen) Datenquellen, um die relevanten Informationen bereitzustellen. Zum anderen machen sie die Kontextbereitstellung und Vorverarbeitung der Eingaben möglich, um die gestellten Fragen seitens der Mitarbeiter sowie gegebenenfalls der Geschäftspartner und Lieferanten zu Compliance-Themen zielgerichtet zu beantworten.

Aus Risikogesichtspunkten wäre zu klären, ob das Unternehmen bei der Etablierung des Compliance- bzw. CMS-Chatbots als Anbieter nach Art. 3 Nr. 3 KI-VO17 oder Betreiber nach Art. 3 Nr. 4 KI-VO18 einzustufen ist. Je nach Einstufung ergeben sich unterschiedliche Verpflichtungen und Haftungsrisiken.

5. Compliance-Organisation

Hinsichtlich der Aufbauorganisation kann ein elementarer Bestandteil der zukünftigen Compliance-Organisation die Einführung einer neuen Rolle sein, und zwar die des KI-Compliance-Officers oder KI-Compliance-Beauftragten.19 Analog zu anderen gesetzlichen Anforderungen, bei denen die Einführung einer neuen Rolle zu etablieren war, bspw. die Rolle des Datenschutzbeauftragten20 im Zuge der Einführung der Datenschutz-Grundverordnung (DSGVO) oder der des Menschenrechtsbeauftragten21 im Zuge des Lieferkettensorgfaltspflichtengesetzes (LkSG), kann dies ebenfalls für den KI-Compliance-Officer bzw. den KI-Compliance-Beauftragten im Zuge der Einführung von KI im Rahmen des CMS gelten. Um die potenziell neue Rolle im Unternehmen zu integrieren, ist es ratsam, die zugehörigen Aufgaben, Kompetenzen und Verantwortlichkeiten (AKVs) für den KI-Compliance-Officer bzw. den KI-Compliance-Beauftragten zu definieren, schriftlich zu fixieren und zu Transparenz- und Informationszwecken entsprechend in der Organisation über die üblichen Plattformen und Wege (bspw. in Form einer „Tone from the Top“-Kommunikation seitens des Managements, über Compliance-Handbücher oder -Richtlinien sowie im Rahmen von Schulungsveranstaltungen) zu kommunizieren (vgl. Ausführungen zu Kapitel III 6. Compliance-Kommunikation).

In der folgenden Abbildung (siehe unten) sind beispielhafte AKVs für einen zukünftigen KI-Compliance-Officer bzw. KI-Compliance-Beauftragten aufgeführt. Die Auflistung der AKVs kann zudem für eine Stellenbeschreibung für den KI-Compliance-Officer genutzt werden und bei der Suche nach einer/einem geeigneten Kandidatin/en für die Stellenbesetzung förderlich sein.22

Abb.: Beispielhafte Auflistung von AKVs für einen zukünftigen KI-Compliance-Officer

Aufgaben	Kompetenzen	Verantwortlichkeiten
Analyse von eingesetzten KI-Algorithmen im Rahmen des CMS nach bspw. ihrer Voreingenommenheit und ihrem Diskriminierungsrisiko	Entscheidung über die Anpassung der Konfiguration und Algorithmen der eingesetzten KI-Systeme und KI-Modelle (unter anderem ML) basierend auf neuen oder geänderten regulatorischen Anforderungen und Vorschriften, unter anderem KI-VO und DSGVO	Sicherstellung der Konformität der eingesetzten KI-Algorithmen sowie KI-Systeme und -Methoden mit den relevanten gesetzlichen Vorgaben (unter anderem KI-VO und DSGVO)
Durchführung von Schulungen unter anderem hinsichtlich der korrekten und ordnungsgemäßen Nutzung von KI-Systemen und -Modellen im Rahmen des CMS	Prüfung und Freigabe von neuen KI-Algorithmen, KI-Systemen und -Modellen für das CMS sowie von Änderungen und Updates von bestehenden KI-Algorithmen, KI-Systemen und -Modellen für das CMS	Sicherstellung einer vollständigen und nachvollziehbaren Dokumentation der im Einsatz befindlichen KI-Algorithmen sowie KI-Systeme und -Modelle für das CMS (auch vor dem Hintergrund möglicher Auditierungen und Zertifizierungen)
Bearbeitung von eingehenden Hinweisen (bspw. über das Hinweisgebersystem) in Bezug auf den Einsatz von KI im Rahmen des CMS	Kontinuierliche Weiterentwicklung der eingesetzten KI-Algorithmen sowie KI-Systeme und -Modelle im Rahmen des CMS	Sicherstellung einer regelkonformen und ordnungsmäßigen Datenqualität im Zuge der Nutzung von KI im Rahmen des CMS (unter anderem Nutzung von personenbezogenen Daten, etc.)
Berichterstattung über Risiken und Weiterentwicklungen der im Einsatz befindlichen KI im Rahmen des CMS an den Vorstand und Gremien (z. B. Compliance-Ausschuss)	Erstellung und Aktualisierung von Richtlinien und Anweisungen hinsichtlich der Anwendung und Nutzung von KI-Systemen und -Modellen im Rahmen des CMS	Sicherstellung der Aktualität der KI-Systeme und -Modelle im Rahmen des CMS an neue Entwicklungen/Anforderungen

Eine interessante Fragestellung, die sich im Zuge der Einführung der Rolle des KI-Compliance-Officers ergeben könnte, ist, inwieweit auch dem KI-Compliance-Officer eine Garantenstellung, ähnlich wie beim Compliance-Beauftragen basierend auf dem obiter dictum des Bundesgerichtshofs vom 17. 7. 200923, unterstellt wird. Nach Ansicht des BGH sind Compliance-Beauftragte zum einen verpflichtet, tätig zu werden, um bspw. Vermögensbeeinträchtigungen des eigenen Unternehmens zu unterbinden. Zum anderen können sie zudem verpflichtet sein, im Zusammenhang mit der Tätigkeit des Unternehmens stehende Straftaten auch gegen Vertragspartner des Unternehmens generell zu verhindern.24 Diese Verpflichtungen können unter Umständen auch auf die zukünftigen KI-Compliance-Officer treffen, insofern ist die Beschäftigung mit den Haftungsrisiken und vertraglichen Regelungen eines KI-Compliance-Officers durchaus sinnvoll.

6. Compliance-Kommunikation

Die wesentlichen Themen einer Compliance-Kommunikation umfassen neben der Aus- und Weiterbildung der Mitarbeitenden die Kommunikation der Unternehmenswerte, der Compliance-Kultur, der von Mitarbeitenden und gegebenenfalls Dritten erwarteten Verhaltensweisen, der in den Teilbereichen zu beachtenden Regeln, der Ergebnisse von Überwachungsmaßnahmen sowie die Festlegung der Berichtspflichten und -wege im Falle von vermuteten und realisierten Compliance-Risiken und Regelverstößen.25

a) Konzeption und Durchführung von Compliance-Schulungen

KI kann bei der Konzeption, Durchführung und Auswertung von Compliance-Schulungen angewandt werden. Für die Konzeption von Schulungsunterlagen und Erstellung von Trainingsinhalten kann die Nutzung von NLP bzw. eine spezialisierte Technologie von NLP, die Generative Pre-trained Transformer (GPT), in Betracht gezogen werden. GPT hat unter anderem die Fähigkeit, selbständig Inhalte in kontextbezogener und strukturierter Form zu generieren. Durch diese Eigenschaften kann GPT basierend auf spezifischen Eingaben (sogenannte Prompts) zielgerichtet Compliance-bezogene Schulungsunterlagen sowie Prüfungsfragen erstellen. Schulungsunterlagen können unter Berücksichtigung des Scopes bzw. der Themenbereiche des CMS (bspw. Antikorruption, Kartellrecht, Datenschutz) auf die neuen und geänderten Compliance-Anforderungen (vgl. hierzu die Ausführungen zu Kapitel III, 3. Compliance-Risiken) ausgerichtet werden.

Hinsichtlich der Durchführung von Schulungen kann man auf einen neuen interaktiven Ansatz, die sogenannte Gamification, setzen.26 Diese Form erlaubt es auf eine spielerische Art und Weise (bspw. durch eine virtuelle Schatzsuche), Compliance-relevante Inhalte zu vermitteln.27 Durch die Anwendung von GPT- und ML-Modellen sowie NLP können Compliance-relevante Fragestellungen und Rätsel in virtueller Form erstellt werden sowie adressatengerecht angepasst und erweitert werden.

Zusätzliche Analytics-Tools, die mit KI-Technologien verbunden werden können, ermöglichen weitere wertvolle Informationen und Details hinsichtlich der Auswertung von durchgeführten Schulungen, wie z. B. wie viel Zeit ein Teilnehmer bei den Fragen verbringt oder welche Fragen (wiederholt) falsch beantworten werden. Diese Details können für individuelle oder personalisierte Compliance-Schulungen genutzt werden.

b) Konzeption und Durchführung von KI-bezogenen Schulungen

Neben dem Umstand, dass Compliance-Schulungen KI gestützt konzeptioniert und durchgeführt werden können, sollten vor allem auch Schulungen in Bezug auf den Einsatz von KI im Unternehmen und im Rahmen des CMS sowie hinsichtlich der ordnungsgemäßen Anwendung von KI inkl. Risiken, Leitplanken, Rollen und Verantwortlichkeiten regelmäßig vorgenommen werden. Die KI-bezogenen Schulungen können je nach Schwer- und Berührungspunkten der Mitarbeitenden mit KI adressatengerecht erfolgen. Die Durchführung von KI-bezogenen Schulungen kann zur Akzeptanz und „Awareness-Building“ hinsichtlich der Anwendung von KI im Unternehmen beitragen.

Die Durchführung von Schulungen hinsichtlich der korrekten und ordnungsgemäßen Nutzung von KI-Systemen und -Modellen im Rahmen des CMS könnte bspw. der zukünftige KI-Compliance-Officer übernehmen (vgl. Ausführungen zu Kapitel III, 5. Compliance-Organisation, Abbildung 1: Beispielhafte Auflistung von AKVs für einen zukünftigen KI-Compliance-Officer).

7. Compliance-Überwachung und -Verbesserung

Im Rahmen der Compliance-Überwachung ist insbesondere festzustellen, ob das CMS angemessen ausgestaltet und wirksam ist.28 Diese Überwachungstätigkeiten können im Sinne des Drei-Linien-Modells des „Institute of Internal Auditors“ (IIA) durch die zweite Linie (Management) oder die dritte Linie (Interne Revision) durchgeführt werden.29

a) Automatisierte Überwachungstätigkeiten

Um die Konformität mit den relevanten Compliance-Anforderungen im Unternehmen zu prüfen, führen die Compliance-Abteilungen manuelle Stichprobenkontrollen durch, unter anderem zu folgenden relevanten Compliance-Vorgängen:

• Prüfung von ausgewählten Einladungen (nach den zugrundeliegenden Richtlinien)
• Prüfung von ausgewählten Fällen zu Sponsoring und Spenden (nach den zugrundeliegenden Richtlinien)
• Prüfung von Ausgaben und Reisekosten von Mitarbeitenden in Abstimmung mit der Personalabteilung und der Buchhaltung
• Prüfung der Bearbeitung und Beantwortung von Compliance-bezogenen Anfragen eigener Mitarbeitender nach Nachvollziehbarkeit und Richtigkeit

Durch den Einsatz von KI können diese Prüfungen und Kontrollhandlungen automatisiert erfolgen. ML-Modelle ermöglichen die Auswertung von Kontrollen und Maßnahmen auf Basis von Erfahrungswerten und Mustern, die sie erlernt haben. Mit dem erlernten Wissen können etwaige Abweichungen vom definierten Soll-Prozess sowie ungewöhnliche Aktivitäten identifiziert werden.

b) Compliance-Reporting

KI bietet viele Möglichkeiten und Potenziale für die Compliance-Berichterstellung. Der entscheidende Faktor für ein ordnungsgemäßes Compliance-Reporting ist der Input des anzuwenden KI-Systems mit zuverlässigen Daten und Datenquellen. Durch die bereits genannten KI-Technologien NLP und ML können mit der entsprechenden Datenqualität unterschiedliche Compliance-Reportings automatisiert erstellt werden. Es können bspw. Reportings zu folgenden Themen erfolgen:

• Nachhaltigkeitsthemen im eigenen Unternehmen (Einhaltung von relevanten ESG-Anforderungen),
• Geschäftspartner-Compliance (Einhaltung von Compliance-Anforderungen, bspw. ESG-Anforderungen oder Anforderungen aus Supplier Code of Conduct) und
• Fraud-Compliance (Identifikation von möglichen Bestechungszahlen bzw. Annahme von Bestechungsgeldern).

Die Risiken und Gefahren, die sich im Bereich Compliance-Reporting unter Anwendung von KI ergeben können, gehen in der Regel einher mit einer schlechten und unzureichenden Datenqualität. Das kann zu fehlerhaften Ergebnissen und Falschaussagen führen, insbesondere bei externen Reportings, bspw. bei der Nachhaltigkeitsberichtserstattung. Die Auswirkungen fehlerhafter Reportings erstrecken sich von verärgerten Shareholdern und Geschäftspartnern bis hin zur Nonkonformität mit regulatorischen Anforderungen samt Finanz- und Reputationsschäden.

IV. Fazit und Ausblick

Die Anwendungsfälle entlang der CMS-Elemente verdeutlichen, dass KI bereits präsent ist und aktiv angewandt wird. Die Potentiale, die mit der Anwendung von KI im Rahmen des CMS einhergehen, sollten die Unternehmen und Compliance-Funktionsträger motivieren, sich aktiv mit dieser neuen Technologie auseinanderzusetzen.

Die Integration von KI in ein CMS bietet vielversprechende Chancen und Potentiale zur Automatisierung und Effizienzsteigerung bei zentralen Compliance-Aufgaben, wie bspw.

• der automatisierten Überwachung und Analyse neuer oder geänderter regulatorischer Anforderungen,
• der automatisierten und flexiblen Durchführung von Geschäftspartnerprüfungen auf Basis interner und externer Datenquellen,
• der Implementierung von benutzerfreundlichen KI-gestützten Compliance-Chatbots für Mitarbeitende und Geschäftspartner zur Förderung der Einhaltung von Richtlinien und Compliance-Vorgaben sowie der Etablierung einer Compliance-Kultur,
• der Durchführung von zielgerichteten und individuellen Schulungen mit vertieften und detaillierten Auswertungsmöglichkeiten sowie
• der automatisierten Erstellung von Compliance-Reportings.

Die Anwendung von KI im Rahmen von CMS erfordert jedoch auch eine sorgfältige Risikobetrachtung und eine nachhaltige Überwachung der Implementierung. Die Risiken, die mit der Anwendung von KI einhergehen, umfassen unter anderem

• die fehlende Nachvollziehbarkeit und Richtigkeit der zugrunde liegenden Algorithmen, insbesondere bei entscheidungskritischen Anwendungen wie der Geschäftspartnerprüfung oder der automatisierten Compliance-Berichterstellung,
• diskriminierende Ergebnisse aufgrund vorurteilsbehafteter und fehlender Qualität der genutzten Daten,
• erhöhte Risiken aus Datenschutz- und Informationssicherheitsgesichtspunkten aufgrund der Verarbeitung sensibler und großer Mengen an Daten,
• mögliche Haftungsrisiken für den Einsatz autonomer KI-Systeme im CMS aufgrund ihrer Intransparenz und fehlenden Steuerungsmöglichkeit sowie
• ein finanzielles Risiko aufgrund des erhöhten Personal- und Ausbildungsbedarfs bei der Implementierung und dem Betrieb von KI-Systemen und -Modellen im Rahmen des CMS.

Insgesamt bietet die Anwendung von KI-Technologien wie Natural Language Processing (NLP), Machine Learning (ML), GPT-Modellen, Retrieval Augmented Generation (RAG) und Pre-Prompt Engineering gute Ansätze, Compliance-Anforderungen innerhalb der Organisation effizienter zu gestalten und Compliance nachhaltig zu stärken.

Die fortschreitende Entwicklung von KI wird weitere Potenziale und Anwendungsmöglichkeiten für das CMS bieten. Diese können zukünftig unter Beachtung der operationellen, ethischen und rechtlichen Risiken vorteilsbringend und mehrwertstiftend im Unternehmen eingesetzt werden.

---