30 Tage Risikoerkennung für generative KI:Jetzt starten
Demo buchen
Professional ServicesProfessional Services

Leitfaden für KI-Sicherheit für professionelle Dienstleistungen

Schützen Sie die Mandantenvertraulichkeit und wahren Sie die Berufsstandards, während Sie KI über Beratungs-, Buchhaltungs-, Audit- und Beratungstätigkeiten hinweg steuern

APES 110 Code of Ethics for Professional AccountantsCorporations Act 2001 (Anforderungen an die Abschlussprüfung)Privacy Act 1988Tax Agent Services Act 2009ASIC Regulatory GuidesAuditing Standards ASA 500, ASA 620Australian Privacy Principles

Audio version

Listen: Leitfaden für KI-Sicherheit für professionelle Dienstleistungen

Prefer audio? Play the narrated version of this guide.

Unternehmen für professionelle Dienstleistungen, Beratung, Buchhaltung, Audit und Beratung, sind der extremsten Shadow-AI-Exposition aller Branchen ausgesetzt. Fachkräfte arbeiten eigenständig mit sensiblen Mandantendaten, und KI-Werkzeuge bieten unwiderstehliche Produktivitätsgewinne. Dieser Leitfaden behandelt die KI-Governance für die einzigartigen Risiken, mit denen australische Unternehmen für professionelle Dienstleistungen konfrontiert sind.

Die Einführung von KI bei professionellen Dienstleistungen

Unternehmen für professionelle Dienstleistungen, die Big Four (Deloitte, PwC, EY, KPMG), Unternehmen der mittleren Ebene (BDO, Grant Thornton, Pitcher Partners, RSM), Managementberatungen (McKinsey, BCG, Bain) und spezialisierte Beratungspraxen, gehören zu den aggressivsten und am weitesten verbreiteten Anwendern der KI-Technologie. Die Natur der Arbeit bei professionellen Dienstleistungen, Analyse, Synthese, Dokumentation und Beratung, macht sie außergewöhnlich gut für eine Erweiterung durch KI geeignet.

Zu den KI-Anwendungen bei professionellen Dienstleistungen gehören Audit-Analytik und automatisierte Tests, die KI nutzen, um vollständige Transaktionspopulationen statt Stichproben zu analysieren; KI für Steuer-Compliance und -Planung, die Optimierungsmöglichkeiten identifiziert und Entwürfe von Steuererklärungen erstellt; Automatisierung der Due Diligence, die Hunderte von Verträgen und Dokumenten bei M&A-Transaktionen analysiert; Generierung von Beratungsleistungen, bei der KI Strategierahmen, Marktanalysen und Empfehlungsdokumente verfasst; Unterstützung bei der Finanzmodellierung, bei der KI hilft, Finanzmodelle zu erstellen, zu überprüfen und Stresstests zu unterziehen; Überwachung der regulatorischen Compliance, bei der KI regulatorische Änderungen verfolgt und die Auswirkungen auf Mandanten bewertet; Risikoberatung und interne Revision, bei der KI Kontrollumgebungen analysiert und Risikomuster identifiziert; und Entwicklung von Angeboten und Pitches, bei der KI mandantengerichtete Angebote und Präsentationsinhalte verfasst.

Die Big Four haben massive Investitionen in KI getätigt. Die KI-Plattform EY.ai von EY, die Integration von KI durch Deloitte über seine Omnia-Plattform, die Investition von PwC in verantwortungsvolle KI-Fähigkeiten und die KI-gestützten Audit- und Beratungswerkzeuge von KPMG stellen in der Summe Milliardeninvestitionen dar. Diese Unternehmen nutzen KI nicht nur, sie verkaufen KI-gestützte Dienstleistungen an Mandanten.

Unternehmen für professionelle Dienstleistungen stehen jedoch vor einem KI-Governance-Paradoxon. Ihre Mitarbeiter sind versiert, technikaffin und stehen unter intensivem Zeitdruck, genau das Profil, das am ehesten KI-Werkzeuge eigenständig einsetzt. Berater, Wirtschaftsprüfer und Beratende arbeiten routinemäßig mit den sensibelsten Daten, die ihre Mandanten besitzen: Finanzunterlagen, strategische Pläne, M&A-Ziele, Steuerpositionen, regulatorische Risiken und interne Untersuchungen. Wenn ein Berater den strategischen Plan eines Mandanten in ChatGPT einfügt, um beim Verfassen einer Empfehlung zu helfen, oder ein Wirtschaftsprüfer Finanzdaten eines Mandanten in ein KI-Analytikwerkzeug eingibt, ist die Vertraulichkeitsverletzung unmittelbar und potenziell verheerend für sowohl die Mandantenbeziehung als auch den Ruf des Unternehmens.

Wichtigste KI-Sicherheitsrisiken bei professionellen Dienstleistungen

Unternehmen für professionelle Dienstleistungen stehen vor KI-Sicherheitsrisiken, die durch die Natur ihrer Mandantenbeziehungen, ihrer beruflichen Pflichten und ihres Betriebsmodells verstärkt werden.

Verletzung der Mandantenvertraulichkeit durch KI: Das kritischste Risiko ist die Offenlegung vertraulicher Mandanteninformationen über KI-Werkzeuge. Unternehmen für professionelle Dienstleistungen haben treuhänderische und vertragliche Vertraulichkeitspflichten, die sich über alle Mandantenaufträge erstrecken. Wenn Fachkräfte Mandantendaten, Jahresabschlüsse, Transaktionsdetails, strategische Pläne, Untersuchungsergebnisse, Steuerpositionen, in KI-Werkzeuge einfügen, riskieren sie, Vertraulichkeitsvereinbarungen zu verletzen, treuhänderische Pflichten zu verletzen und möglicherweise auf das anwaltliche Berufsgeheimnis über Beratungsarbeit zu verzichten. Das Risiko wird durch die Multi-Mandanten-Natur professioneller Dienstleistungen verstärkt, eine einzige Interaktion mit einem KI-Werkzeug könnte vertrauliche Informationen mehrerer Mandanten offenlegen, wenn Fachkräfte ohne angemessene Kontrollen zwischen Aufträgen kopieren und einfügen.

APES 110 und Verstöße gegen die Berufsethik: Der Ethikkodex APES 110 Code of Ethics for Professional Accountants legt grundlegende Prinzipien fest, darunter Vertraulichkeit (Section 114), berufliche Kompetenz und gebotene Sorgfalt (Section 113) und Integrität (Section 111). Eine KI-Nutzung, die die Mandantenvertraulichkeit gefährdet, verstößt unabhängig von der Absicht gegen Section 114. KI-Ergebnisse, auf die ohne angemessene Überprüfung vertraut wird, können gegen die Anforderung der beruflichen Kompetenz und gebotenen Sorgfalt verstoßen. Der Accounting Professional and Ethical Standards Board (APESB) hat noch keine spezifischen KI-Leitlinien veröffentlicht, doch der bestehende Rahmen gilt eindeutig, Vertraulichkeitspflichten sind technologieneutral.

Prüfungsunabhängigkeit und KI: Wirtschaftsprüfer stehen vor spezifischen Risiken bei der Nutzung von KI im Prüfungsprozess. Der Prüfungsstandard ASA 500 (Audit Evidence) verlangt, dass Prüfungsnachweise ausreichend und angemessen sind, eine durch KI generierte Analyse muss diesen Standard erfüllen. ASA 620 (Using the Work of an Auditor's Expert) kann anwendbar sein, wenn KI-Systeme Funktionen ausführen, die denen eines Sachverständigen entsprechen. Das Prüfungsinspektionsprogramm der ASIC prüft zunehmend den Einsatz von Technologie in der Abschlussprüfung, und KI-Werkzeuge, die Prüfungsurteile ohne angemessene Dokumentation und Validierung beeinflussen, schaffen ein regulatorisches Risiko. Die Verwendung von mandantenbereitgestellten Daten in KI-Systemen könnte zudem Gefährdungen der Unabhängigkeit nach APES 110 Section 600 schaffen, wenn die Beziehung zum KI-Anbieter eine Eigeninteressens- oder Interessenvertretungsgefährdung schafft.

Auftragsübergreifende Kontamination: Unternehmen für professionelle Dienstleistungen betreuen konkurrierende Mandanten innerhalb derselben Branchen. KI-Werkzeuge, die Daten speichern oder aus Eingaben lernen, schaffen das Risiko eines Informationslecks zwischen Aufträgen. Eine Beratungs-KI, die dem strategischen Plan eines Mandanten ausgesetzt war, könnte theoretisch die Beratung eines Wettbewerbers beeinflussen. Dieses Kreuzkontaminationsrisiko ist grundlegend und erfordert eine strikte Datenisolierung bei jeder KI-Bereitstellung.

Shadow AI in extremem Ausmaß: Unternehmen für professionelle Dienstleistungen weisen die höchste Shadow-AI-Exposition aller Branchen auf. Jeder Berater, Wirtschaftsprüfer und Berater ist ein Wissensarbeiter mit starken Anreizen, KI zu nutzen. Anders als in der Fertigung oder Energie gibt es keine physischen Systeme, die die KI-Einführung einschränken, es ist rein eine Frage des individuellen Verhaltens. Umfragen zeigen, dass über 70% der Beschäftigten in professionellen Dienstleistungen generative KI für Arbeitsaufgaben genutzt haben, und die Mehrheit hat Werkzeuge für Endverbraucher statt vom Unternehmen genehmigter Plattformen verwendet.

Risiken für geistiges Eigentum und Arbeitsergebnisse: Beratungsrahmen, Prüfungsmethoden, proprietäre analytische Ansätze und Mandantenleistungen stellen erhebliches geistiges Eigentum dar. Wenn Fachkräfte KI-Werkzeuge mit diesen Materialien nutzen, riskieren sie, das geistige Eigentum des Unternehmens KI-Anbietern offenzulegen und es Wettbewerbern möglicherweise zu ermöglichen, durch das Training von KI-Modellen von den Methoden des Unternehmens zu profitieren.

APES 110 und regulatorische Compliance für KI bei professionellen Dienstleistungen

Der regulatorische Rahmen für professionelle Dienstleistungen erlegt spezifische Verpflichtungen auf, die sich unmittelbar auf die KI-Governance auswirken.

Vertraulichkeit nach APES 110 (Section 114): Section 114 verlangt von Wirtschaftsprüfern, die Vertraulichkeit von Informationen zu wahren, die infolge beruflicher und geschäftlicher Beziehungen erlangt wurden. Diese Verpflichtung besteht auch nach Beendigung der beruflichen Beziehung fort. Für KI bedeutet dies, dass alle KI-Werkzeuge, die Mandanteninformationen verarbeiten, die Vertraulichkeit wahren müssen, einschließlich der Gewährleistung, dass KI-Anbieter Mandantendaten nicht speichern, nutzen oder zum Training verwenden. Die Vertraulichkeitspflicht erstreckt sich auf das gesamte Personal, Auftragnehmer und Technologiesysteme, die im Auftrag verwendet werden. Unternehmen müssen bewerten, ob die Nutzung eines KI-Werkzeugs eine Offenlegung vertraulicher Informationen an einen Dritten darstellt, was die Zustimmung des Mandanten erfordert, sofern nicht eine rechtliche oder berufliche Verpflichtung die Offenlegung erlaubt oder verlangt.

Berufliche Kompetenz und gebotene Sorgfalt nach APES 110 (Section 113): Section 113 verlangt von Wirtschaftsprüfern, ihr berufliches Wissen und Können auf dem Niveau zu halten, das erforderlich ist, um sicherzustellen, dass Mandanten eine kompetente professionelle Dienstleistung erhalten. Für KI schafft dies eine doppelte Verpflichtung, Fachkräfte müssen kompetent im Umgang mit KI-Werkzeugen sein (ihre Fähigkeiten und Grenzen verstehen) und müssen die gebotene Sorgfalt walten lassen, indem sie KI-Ergebnisse überprüfen, bevor sie sich in ihrer beruflichen Arbeit darauf verlassen. Ein Wirtschaftsprüfer, der sich auf eine durch KI generierte Analyse verlässt, ohne die Methodik der KI zu verstehen oder ihre Ergebnisse anhand der Quelldaten zu validieren, verstößt gegen die Anforderung der gebotenen Sorgfalt.

Anforderungen des Corporations Act an die Abschlussprüfung: Der Corporations Act 2001, Part 2M.3, erlegt Wirtschaftsprüfern Anforderungen auf, die die KI-Nutzung betreffen. Section 307C verlangt von Wirtschaftsprüfern, Prüfungen in Übereinstimmung mit den Prüfungsstandards durchzuführen, in der Abschlussprüfung verwendete KI-Werkzeuge müssen die ASA-Anforderungen erfüllen. Section 307A verlangt, dass der Wirtschaftsprüfer ein Urteil auf der Grundlage von Prüfungsnachweisen bildet, eine KI-gestützte Analyse muss Nachweise erzeugen, die die Tests auf Ausreichendheit und Angemessenheit nach ASA 500 erfüllen. Die ASIC hat in ihren Prüfungsinspektionsberichten angedeutet, dass sie den Einsatz automatisierter Werkzeuge und Datenanalytik in der Abschlussprüfung prüfen wird, einschließlich der Frage, ob Unternehmen über eine angemessene Qualitätskontrolle bei KI-gestützten Prüfungsverfahren verfügen.

Tax Agent Services Act 2009: Registrierte Steueragenten und BAS-Agenten müssen den Code of Professional Conduct nach dem Tax Agent Services Act einhalten. Dazu gehört die Wahrung der Vertraulichkeit von Mandanteninformationen und die Ausübung beruflicher Kompetenz. KI-Werkzeuge, die in der Steuererstellung, Steuerplanung und Compliance eingesetzt werden, müssen die Datenvertraulichkeit wahren und genaue Ergebnisse liefern, eine durch KI generierte Steuerberatung, die falsch ist, könnte einen Verstoß gegen den Code darstellen und zu Sanktionen des Tax Practitioners Board (TPB) führen.

Verpflichtungen des Privacy Act: Unternehmen für professionelle Dienstleistungen, die im Auftrag von Mandanten personenbezogene Daten erheben und verarbeiten, müssen den Privacy Act 1988 einhalten. Dazu gehören die Beschränkungen nach APP 6 (Nutzung und Offenlegung) bei der Verarbeitung personenbezogener Mandantendaten über KI-Werkzeuge, die Anforderungen nach APP 11 (Sicherheit) zum Schutz personenbezogener Daten in KI-Systemen und das Notifiable-Data-Breaches-Schema, das die Meldung qualifizierender Datenschutzverletzungen, einschließlich KI-bezogener Datenoffenlegung, an das OAIC und die betroffenen Personen verlangt.

Aufkommende Berufsstandards: Obwohl spezifische KI-Standards für professionelle Dienstleistungen noch in der Entwicklung sind, ist die Richtung klar. CA ANZ (Chartered Accountants Australia and New Zealand), CPA Australia und der Institute of Public Accountants entwickeln allesamt KI-Leitlinien. Der International Auditing and Assurance Standards Board (IAASB) prüft, wie Prüfungsstandards auf KI anwendbar sind. Unternehmen sollten mit einer obligatorischen KI-Offenlegung, KI-Kompetenzanforderungen und KI-Governance-Standards innerhalb der professionellen Buchhaltungs- und Prüfungsrahmen rechnen.

Aufbau eines KI-Governance-Rahmens für Unternehmen für professionelle Dienstleistungen

Unternehmen für professionelle Dienstleistungen benötigen KI-Governance-Rahmen, die die Mandantenvertraulichkeit in den Mittelpunkt stellen und zugleich die Produktivitätsvorteile ermöglichen, die KI bietet.

KI-Governance-Ausschuss für professionelle Dienstleistungen: Richten Sie eine Governance ein, die die Partnerschaftsstruktur und die beruflichen Pflichten widerspiegelt. Beziehen Sie den Managing Partner oder CEO, den Chief Risk Officer oder National Risk Management Partner, den Chief Information Security Officer, die Leiter der Praxisbereiche (Audit, Steuern, Advisory, Consulting), den National Quality and Compliance Partner, den General Counsel sowie die Leitung für Technologie und Innovation ein. Dieser Ausschuss muss befugt sein, KI-Werkzeuge für die Nutzung in Mandantenaufträgen zu genehmigen, Standards für die Datenverarbeitung festzulegen, Schulungsanforderungen vorzuschreiben und Konsequenzen für Richtlinienverstöße durchzusetzen, einschließlich der Nutzung von Shadow AI mit Mandantendaten.

Klassifizierung von KI-Werkzeugen für professionelle Dienstleistungen: Führen Sie ein Klassifizierungssystem ein, das das Risiko der Mandantenvertraulichkeit widerspiegelt. Tier 1 (KI für Mandantenaufträge) umfasst KI-Werkzeuge, die innerhalb von Mandantenaufträgen verwendet werden und Mandantendaten verarbeiten, diese erfordern die höchste Governance, einschließlich der Bewertung der Mandantenzustimmung, der Überprüfung der Datenisolierung, der Unabhängigkeitsprüfung (für Audit) und der Freigabe durch einen Partner. Tier 2 (KI für Unternehmenswissen) umfasst KI-Werkzeuge, die mit dem geistigen Eigentum, den Methoden und den nicht-mandantenbezogenen Daten des Unternehmens verwendet werden, diese erfordern eine Sicherheitsprüfung, eine Bewertung des Schutzes des geistigen Eigentums und die Genehmigung der Praxisleitung. Tier 3 (KI für persönliche Produktivität) umfasst KI-Werkzeuge, die für allgemeine Aufgaben ohne Mandanten- oder unternehmenseigene Daten verwendet werden, diese erfordern eine grundlegende Sicherheitsprüfung und eine Bestätigung der akzeptablen Nutzung.

Kontrollen der Mandantenvertraulichkeit für KI: Führen Sie technische und verfahrenstechnische Kontrollen ein, die die Mandantenvertraulichkeit bei KI-Interaktionen schützen. Unternehmensweite KI-Bereitstellungen müssen eine Datenisolierung umfassen, die ein mandantenübergreifendes Datenleck verhindert, vertragliche Zusicherungen, dass KI-Anbieter Mandantendaten nicht speichern, nutzen oder zum Training verwenden, Kontrollen der Datenresidenz, die sicherstellen, dass Mandantendaten in vereinbarten Rechtsräumen verbleiben, Zugriffskontrollen, die den Zugang zu KI-Werkzeugen auf autorisierte Mitglieder des Auftragsteams beschränken, und eine Audit-Protokollierung aller KI-Interaktionen mit Mandantendaten.

KI-Richtlinien auf Auftragsebene: Verschiedene Aufträge können je nach Mandantenpräferenzen, regulatorischem Kontext und Datensensibilität unterschiedliche KI-Anforderungen haben. Nehmen Sie Bestimmungen zur KI-Nutzung in Auftragsschreiben und Mandantenvereinbarungen auf. Richten Sie einen Prozess ein, mit dem Mandanten KI-Einschränkungen oder -Präferenzen festlegen können. Führen Sie nach Möglichkeit Zugriffskontrollen für KI-Werkzeuge auf Auftragsebene ein. Dokumentieren Sie die KI-Nutzung in den Auftragsakten für die Qualitätsprüfung und die regulatorische Inspektion. Führen Sie eine KI-Risikobewertung als Teil der Verfahren zur Auftragsannahme und -fortführung durch.

Audit-spezifische KI-Governance: Audit-Aufträge erfordern eine zusätzliche KI-Governance, die die regulatorischen Anforderungen widerspiegelt. In der Abschlussprüfung verwendete KI-Werkzeuge müssen die Australian Auditing Standards einhalten, insbesondere ASA 500 (Prüfungsnachweise) und ASA 315 (Identifizierung und Bewertung von Risiken). Dokumentieren Sie die KI-Methodik, einschließlich Dateneingaben, Algorithmen und Validierungsverfahren, als Teil der Prüfungsakte. Stellen Sie sicher, dass die KI-Analyse von qualifizierten Mitgliedern des Prüfungsteams überprüft wird, bevor sie Prüfungsschlussfolgerungen beeinflusst. Wahren Sie die Unabhängigkeit, indem Sie bewerten, ob Beziehungen zu KI-Anbietern Gefährdungen nach APES 110 Section 600 schaffen. Bereiten Sie sich auf die ASIC-Inspektion vor, indem Sie die KI-Nutzung in der Prüfungsmethodik und den Qualitätskontrollverfahren dokumentieren.

Verantwortlichkeit von Partnern und Führung: In Unternehmen für professionelle Dienstleistungen tragen Partner eine persönliche Haftung für die Auftragsqualität und die Mandantenvertraulichkeit. Die KI-Governance muss die Verantwortlichkeit der Partner für die KI-Nutzung innerhalb ihrer Aufträge klar zuweisen, eine Überprüfung KI-gestützter Leistungen durch einen Partner vor der Übergabe an den Mandanten verlangen, die KI-Governance in die Leistungsbewertung der Partner einbeziehen und sicherstellen, dass Partner ihre Aufsichtspflichten hinsichtlich der KI-Nutzung durch Auftragsteams verstehen.

Verhinderung von Shadow AI bei professionellen Dienstleistungen

Shadow AI bei professionellen Dienstleistungen ist allgegenwärtig, hartnäckig und außergewöhnlich schwer zu kontrollieren. Die Kombination aus hochqualifizierten, autonomen Mitarbeitern, intensivem Zeitdruck und ständigem Zugang zu sensiblen Mandantendaten schafft die perfekten Bedingungen für eine nicht gesteuerte KI-Einführung.

Häufige Shadow-AI-Szenarien bei professionellen Dienstleistungen: Berater, die strategische Pläne, Finanzdaten und Wettbewerbsinformationen von Mandanten in ChatGPT einfügen, um die Analyse zu strukturieren und Leistungen zu verfassen. Wirtschaftsprüfer, die Rohbilanzen, Buchungssätze und Jahresabschlüsse von Mandanten zur Analyse und Anomalieerkennung außerhalb der vom Unternehmen genehmigten Werkzeuge in eine KI eingeben. Steuerfachkräfte, die Steuererklärungen, Finanzunterlagen und Treuhandurkunden von Mandanten zur Recherche und Compliance-Prüfung in eine KI hochladen. Due-Diligence-Teams, die Daten von Zielunternehmen, Verträge und Finanzmodelle zur schnellen Analyse bei zeitkritischen Transaktionen in eine KI einfügen. Advisory-Partner, die Notizen von Mandantenbesprechungen und strategische Gespräche in KI-Werkzeuge zur Transkription und Zusammenfassung diktieren. Nachwuchskräfte, die KI nutzen, um Mandantenkorrespondenz, Memos und Präsentationsfolien mit vertraulichen Auftragsinformationen zu verfassen.

Die Herausforderung des autonomen Mitarbeiters: Unternehmen für professionelle Dienstleistungen können sich nicht primär auf technische Kontrollen verlassen, um Shadow AI zu verhindern. Berater arbeiten an Mandantenstandorten, auf persönlichen Geräten, über Mandantennetzwerke und in mehreren Rechtsräumen. Viele Fachkräfte haben persönliche KI-Abonnements, die für die Unternehmens-IT unsichtbar sind. Der wirksamste Ansatz kombiniert gezielte technische Kontrollen mit einer starken Berufskultur, klaren Konsequenzen und wirklich nützlichen genehmigten Alternativen.

Technische Kontrollen für professionelle Dienstleistungen: Setzen Sie DLP-Regeln ein, die für Datenmuster professioneller Dienstleistungen konfiguriert sind, Mandantennamen, ABN/ACN-Nummern, Finanzzahlen, Auftragsreferenzen. Führen Sie auf allen Unternehmensgeräten ein Endpunktmanagement mit Kontrollen für KI-Anwendungen ein. Nutzen Sie einen CASB (Cloud Access Security Broker), um die Nutzung von Cloud-KI-Diensten zu überwachen und zu kontrollieren. Überwachen Sie die E-Mail- und Kollaborationsplattformen des Unternehmens auf Indikatoren für die Nutzung von KI-Werkzeugen. Führen Sie eine Browser-Isolierung oder Web-Proxy-Kontrollen in den Unternehmensnetzwerken ein, die nicht genehmigte KI-Dienste blockieren. Führen Sie regelmäßige Audits von Spesenabrechnungen und Abonnementdiensten durch, um Käufe von KI-Werkzeugen aufzudecken.

Bereitstellung genehmigter Unternehmens-KI: Die wirksamste Gegenmaßnahme gegen Shadow AI ist die Bereitstellung von Unternehmens-KI-Werkzeugen, die für die Arbeit in professionellen Dienstleistungen wirklich nützlich sind. Stellen Sie eine unternehmensweite KI-Plattform bereit (etwa Microsoft Copilot für Microsoft 365 oder eine unternehmensspezifische GPT-Bereitstellung auf Azure OpenAI) mit Schutz der Mandantendaten, Datenisolierung und ohne Modelltraining mit Unternehmensdaten. Stellen Sie genehmigte KI-Werkzeuge für spezifische Workflows professioneller Dienstleistungen bereit, Recherche, Analyse, Erstellung und Überprüfung, integriert in die Wissensmanagementsysteme des Unternehmens. Erstellen Sie unternehmensspezifische KI-Prompt-Bibliotheken und Vorlagen, die auf die Workflows von Consulting, Audit, Steuern und Advisory zugeschnitten sind. Stellen Sie sicher, dass genehmigte KI-Werkzeuge ebenso einfach zugänglich und nutzbar sind wie Alternativen für Endverbraucher, Reibung treibt die Einführung von Shadow AI voran.

Kultur, Schulung und Konsequenzen: Bauen Sie eine Berufskultur auf, in der eine gesteuerte KI-Nutzung erwartet und eine nicht gesteuerte KI-Nutzung als ernstes berufliches Fehlverhalten behandelt wird. Machen Sie die KI-Governance zu einem Teil des Onboardings aller neuen Mitarbeiter, einschließlich Quereinsteiger aus anderen Unternehmen. Führen Sie regelmäßige Schulungen durch, die betonen, dass KI-Vertraulichkeitsverletzungen gleichbedeutend mit dem Versenden von Mandantenakten an persönliche Konten per E-Mail sind, ein schwerwiegender Verstoß unabhängig von der Absicht. Beziehen Sie die Einhaltung der KI-Governance in Leistungsbeurteilungen und Beförderungskriterien ein. Legen Sie klare Konsequenzen für die Nutzung von Shadow AI mit Mandantendaten fest, die der Schwere des Verstoßes angemessen sind. Erkennen und belohnen Sie Teams, die innerhalb gesteuerter KI-Rahmen wirksam innovieren.

Zentrale KI-Sicherheitsrisiken in der Branche Professional Services

Verletzung der Mandantenvertraulichkeit

Finanzdaten, strategische Pläne und Auftragsinformationen von Mandanten, die über KI-Werkzeuge offengelegt werden und gegen treuhänderische Pflichten und die Vertraulichkeitspflichten von APES 110 verstoßen

Prüfungsqualität und -unabhängigkeit

KI-Werkzeuge, die ohne angemessene Validierung in der Abschlussprüfung eingesetzt werden und Risiken für die Qualität der Prüfungsnachweise sowie potenzielle Gefährdungen der Unabhängigkeit nach APES 110 schaffen

Auftragsübergreifende Kontamination

KI-Werkzeuge, die Mandantendaten speichern oder daraus lernen und ein Risiko eines Informationslecks zwischen Aufträgen konkurrierender Mandanten schaffen

Extreme Shadow-AI-Exposition

Über 70% der Beschäftigten in professionellen Dienstleistungen nutzen KI-Werkzeuge für Endverbraucher mit Mandantendaten und schaffen allgegenwärtige, nicht gesteuerte Datenflüsse

Verstöße gegen die Berufsethik

Eine KI-Nutzung, die die Standards der beruflichen Kompetenz und gebotenen Sorgfalt nach APES 110, den Anforderungen der ASIC oder dem Code of Conduct des Tax Practitioners Board nicht erfüllt

Offenlegung des geistigen Eigentums und der Methoden des Unternehmens

Proprietäre Beratungsrahmen, Prüfungsmethoden und analytische Ansätze, die über Interaktionen mit KI-Werkzeugen offengelegt werden

KI-Compliance-Checkliste für die Branche Professional Services

  • 1
    Alle KI-Werkzeuge vor der Bereitstellung mit Mandantendaten anhand der Vertraulichkeitspflichten von APES 110 bewerten
  • 2
    Datenisolierungskontrollen einführen, die ein mandantenübergreifendes Datenleck in Unternehmens-KI-Plattformen verhindern
  • 3
    Eine unternehmensweite Unternehmens-KI mit vertraglichen Zusicherungen gegen Datenspeicherung und Modelltraining bereitstellen
  • 4
    KI-Richtlinien auf Auftragsebene mit Bestimmungen zur Mandantenzustimmung in Auftragsschreiben festlegen
  • 5
    Die KI-Methodik in den Prüfungsakten für die ASA-Compliance und die Bereitschaft zur ASIC-Inspektion dokumentieren
  • 6
    Unabhängigkeitsbewertungen für Beziehungen zu KI-Anbietern in Audit-Aufträgen durchführen
  • 7
    DLP- und CASB-Kontrollen einsetzen, die Mandantendaten im Datenverkehr nicht genehmigter KI-Werkzeuge erkennen
  • 8
    Das gesamte Personal beim Onboarding und jährlich in den KI-Vertraulichkeitspflichten von APES 110 schulen
  • 9
    Die Einhaltung der KI-Governance in die Verantwortlichkeit der Partner und die Leistungsbewertung einbeziehen
  • 10
    Die KI-Nutzung in Beziehungen zu Maklern, Vermittlern und Subunternehmern bewerten und steuern

Verwandte Branchenleitfäden

Verwandt

Sichern Sie KI in Ihrem Unternehmen der Branche Professional Services

Aona AI hilft Unternehmen der Branche professional services, die KI-Nutzung mit branchenspezifischen Compliance-Kontrollen zu entdecken, zu überwachen und zu steuern.