KPMG Klardenker Logo
Frau im Profil blickt nach rechts vor einem blauen, digitalen Hintergrund mit abstrahierter Weltkarte aus Punkten. Die Szene vermittelt Zukunftsorientierung, Datenanalyse und technologische Transformation im Audit-Umfeld.

Diese vier regulatorischen Fragen sollten Unternehmen 2026 beantworten können

Unsere Experten geben Orientierung zu KI-Governance, ESG und geopolitischen Risiken.

30.01.2026 | ca. 7 Minuten Lesezeit
Axel Bachmann
Axel Bachmann
Dr. Jan-Hendrik Gnändiger
Dr. Jan-Hendrik Gnändiger
Sebastian Stöckle
Sebastian Stöckle
Dirk Distelrath
Dirk Distelrath

Keyfacts:

  • EU AI Act, Nachhaltigkeitsregulierung und geopolitische Spannungen wirken direkt auf Entscheidungen, Bewertungen und Geschäftsannahmen.
  • Transparenz über Anwendungen, Datenquellen und Lieferketten sowie integrierte Risiko- und Kontrollmechanismen machen Regulierung von einer Compliance-Pflicht zu einem operativen Steuerungsinstrument und sichern Resilienz sowie Handlungsspielräume.
  • Unsere Expertinnen und Experten zeigen, wie die Anforderungen in Governance, Steuerung und Entscheidungsprozesse übersetzt werden können.

1. Ist unsere KI regelkonform – bevor der EU AI Act es von uns verlangt?

Für viele Unternehmen ist künstliche Intelligenz (KI) längst Teil des operativen Geschäfts. Sie unterstützt Forecasts, automatisiert Entscheidungen, priorisiert Risiken oder analysiert große Datenmengen. Durch den EU AI Act entsteht eine neue Management- und Steuerungsaufgabr, bei der Vorstände und Geschäftsleitungen klären müssen: Ist unsere KI nicht nur leistungsfähig, sondern organisatorisch beherrscht und dauerhaft verantwortbar?

Der EU AI Act folgt einem risikobasierten Ansatz und verlagert den Fokus von der Technologie selbst auf deren konkrete Einsatzwirkung und Steuerbarkeit im Unternehmen. Das bedeutet, dass KI-Systeme je nach potenzieller Auswirkung auf Grundrechte, Sicherheit und wirtschaftliche Entscheidungen unterschiedlich reguliert werden. Entscheiderinnen und Entscheider müssen jederzeit transparent beantworten können, wo und wofür KI eingesetzt wird und welche Risiken damit verbunden sind.

Die Praxis zeigt, warum das wichtig ist. KI-Systeme können effizient arbeiten, bleiben aber ohne geeignete Kontrollmechanismen aus Managementsicht eine Blackbox und entziehen sich wirksamer Steuerung. Fehlende Transparenz, verzerrte Daten oder nicht dokumentierte Modelländerungen können schnell zu regulatorischen, reputativen oder finanziellen Risiken führen. Der EU AI Act zwingt Unternehmen daher, Verantwortung nicht an Algorithmen zu delegieren, sondern klare Zuständigkeiten zu definieren. Zusätzlich sorgen klare Prinzipien, definierte Verantwortlichkeiten und integrierte Risikomanagementprozesse nicht nur für Regelkonformität, sondern ermöglichen einen skalierbaren, vertrauenswürdigen und wirtschaftlich sinnvollen KI-Einsatz.

Für Unternehmen bedeutet das konkret: Entscheidend ist, dass der Einsatz von KI bestimmten Governance-, Risiko- und Kontrollmechanismen unterliegt. Ein verantwortungsvoller KI-Einsatz beginnt mit der systematischen Einordnung von Anwendungen in Risikoklassen, wie sie der europäische Regulierungsrahmen vorsieht, und mit klar definierten Zuständigkeiten entlang des gesamten KI-Lebenszyklus. Unternehmen, die frühzeitig Transparenz über Datenquellen, Entscheidungslogiken und Einsatzbereiche schaffen, reduzieren nicht nur regulatorische Risiken, sondern verschaffen sich einen strukturellen Vorsprung, noch bevor der EU AI Act dies ab August 2026 verbindlich verlangt.

 

2. Wie wird Sustainability Reporting vom Pflichtprogramm zum Steuerungsinstrument?

Viele große Unternehmen haben bereits erste Berichte im Rahmen der Corporate Sustainability Reporting Directive (CSRD) erstellt. Gleichzeitig sind die EU-Regelwerke zur nicht finanziellen Berichterstattung weiterhin im Fluss: Ende 2025 wurde in der EU eine politische Einigung erzielt, den Umfang der CSRD und verwandter Vorgaben wie der Corporate Sustainability Due Diligence Directive (CSDDD) deutlich zu vereinfachen und die Anwendungsbereiche anzupassen. Dieses Paket ist noch im Amtsblatt der EU zu veröffentlichen, bevor es endgültig in Kraft treten und dann in den Mitgliedsländern in geltendes Recht umgesetzt werden kann. Ab dem Jahr 2027 vergrößert sich damit der Geltungsbereich der CSRD auf die sogenannte zweite Welle.

Vor diesem Hintergrund stellt sich für viele Unternehmen weiterhin die Frage, wie verbindlich und umfangreich Berichtspflichten zur Nachhaltigkeit künftig ausgestaltet sein werden. Unabhängig vom regulatorischen Ausgang gilt jedoch: Besonders großer Mehrwert entsteht dann, wenn ESG-Daten nicht nur dokumentiert, sondern systematisch ausgewertet und für Entscheidungen genutzt werden. ESG darf nicht nur ein Berichtsthema bleiben, sondern sollte operativ anschlussfähig sein. Genau hier liegt aktuell die größte Hürde. ESG-Informationen sind häufig vorhanden, aber fragmentiert, verspätet oder nicht kompatibel mit bestehenden Steuerungslogiken.

Für Unternehmensverantwortliche stellt sich damit die Frage: Wie lassen sich ESG-Daten so aufbereiten, dass sie auch jenseits formaler Berichtspflichten operativ nutzbar werden? Zentrale Anwendungsfelder zum Verankern von ESG-Daten sind das Risikomanagement, die Lieferkettensteuerung oder das Performance-Monitoring.

Was dies in der Praxis bedeuten kann:

  • Datenkonsolidierung: ESG-Kennzahlen aus Einkauf, Produktion, Personalwesen und externen Quellen werden zentral zusammengeführt statt dezentral gepflegt. Das reduziert Abstimmungsaufwand und verbessert die Vergleichbarkeit – unabhängig von der endgültigen Ausgestaltung zukünftiger Berichtspflichten.
  • Qualitäts- und Plausibilitätsprüfungen: Abweichungen oder Ausreißer in Emissions-, Sozial- oder Governance-Daten werden automatisiert identifiziert, bevor sie in Berichte oder Managemententscheidungen einfließen.
  • Vergleiche und Einordnung: ESG-Daten werden mit internen Zielen oder Peer-Werten verglichen, etwa im Rahmen von ESRS-Dashboards oder Benchmarks.

Echter Mehrwert im Nachhaltigkeitsmanagement entsteht weniger durch immer neue Kennzahlen als durch deren Verknüpfung mit bestehenden Steuerungsprozessen.

Mit der fortschreitenden Umsetzung des EU Green Deal nehmen ESG-Vorschriften auch über die unternehmensweite Berichterstattung hinaus weiter zu. Insbesondere produktspezifische Nachhaltigkeitsinformationen rücken in den Fokus, unter anderem:

  • gelten mit der Empowering Consumers Directive (EmpCo) strengere Regeln für Umweltaussagen und Nachhaltigkeitssiegel,
  • bringt die EU-Ökodesign-Verordnung (Ecodesign for Sustainable Products Regulation, ESPR) eine schrittweise Verpflichtung zur Bereitstellung digitaler Produktpässe, um die Kreislauffähigkeit messbar zu machen und
  • müssen Verpackungen im Rahmen der neuen EU-Verpackungsverordnung (Packaging and Packaging Waste Regulation, PPWR) bestimmten Nachhaltigkeitsanforderungen entsprechen.

Bei all diesen Vorschriften steht ebenfalls die Erhebung und Verarbeitung von Nachhaltigkeitsdaten im Fokus. Über den regulatorischen Selbstzweck hinaus bieten sich hier Chancen für Unternehmen, die auch hier Brücken in die operativen Funktionen schlagen.

Zusammengefasst wird ESG vor dem Hintergrund der regulatorischen Entwicklungen so vom potenziell volatilen Regulierungsthema zu einem stabilen Bestandteil von Investitionsentscheidungen, Transformationsprogrammen und Lieferantenbewertungen.

 

3. Haben wir geopolitische Risiken wirklich im Blick – oder erst, wenn sie bilanziell sichtbar werden?

Als China ankündigte, die Exportkontrollen für seltene Erden ab Dezember 2025 deutlich zu verschärfen, traf das viele Unternehmen unvorbereitet. Betroffen sind nicht nur Rohstoffimporte, sondern auch Produkte oder Technologien, für deren Entwicklung chinesische seltene Erden benötigt werden. Was wie eine handelspolitische Maßnahme wirkt, entfaltet schnell konkrete Auswirkungen auf Lieferketten, Compliance, Bewertungsfragen – von Vorräten über Impairment-Tests bis hin zu Unternehmensbewertungen und Geschäftsannahmen.

Diese neue Exportregeln verändern nicht nur operative Prozesse, sondern führen zu grundlegenden Fragen: Wie abhängig sind wir von bestimmten Regionen? Welche Risiken sind in unseren Lieferketten tatsächlich transparent? Und sind diese Risiken in Steuerungs- und Berichtssystemen angemessen abgebildet?

Für Entscheiderinnen und Entscheider zeigt dieses Beispiel exemplarisch, wie eng Geopolitik und Regulierung inzwischen miteinander verflochten sind. Unternehmen, die regulatorische Entwicklungen nur reaktiv adressieren, laufen Gefahr, Risiken zu spät zu erkennen und Handlungsoptionen zu verlieren.

Für Unternehmen bedeutet das konkret: Resilienz entsteht dort, wo geopolitische Risiken systematisch in Risikoanalysen, Governance-Strukturen und Entscheidungsprozesse integriert werden. Das umfasst die laufende Überprüfung zentraler Annahmen entlang der gesamten Wertschöpfung und des Geschäftsmodells – etwa bei Bewertungen von Vorräten, Vermögenswerten oder Geschäftsbereichen – sowie die regelmäßige Aktualisierung von Risikobewertungen und Mitigationsstrategien. Wer diese Themen frühzeitig datenbasiert steuert, kann regulatorische Eingriffe nicht verhindern, aber ihre finanziellen und operativen Auswirkungen begrenzen.

 

4. Wie verändert datengetriebene und KI-gestützte Prüfung die Qualität und Aussagekraft von Abschlüssen?

Datengetriebene und KI-gestützte Prüfungen schaffen Vertrauen, weil sie nicht mehr auf punktuellen Stichproben basieren, sondern ganze Datenbestände in Echtzeit ausgewertet werden. Gleichzeitig wird ein Fokus auf die Bereiche mit höheren Risiken gelegt. Dadurch entsteht für Investoren, Aufsichtsräte und Kapitalmärkte ein vollständigeres, belastbareres Bild der finanziellen und operativen Realität eines Unternehmens. Risiken werden früher erkennbar und Entscheidungsgrundlagen werden transparenter und aussagekräftiger.

Ein konkretes Beispiel dafür, wie dieser Wandel in der Praxis aussieht, liefert KPMG Clara: Die globale, cloudbasierte Prüfungsplattform basiert auf Microsoft Azure und nutzt KI-Technologien, um unstrukturierte und strukturierte Datensätze vollständig und systematisch zu analysieren, Anomalien zu identifizieren und Routineaufgaben wie Datenabgleich, Transaktionstests oder Dokumentationsprüfungen zu automatisieren. Dadurch können Prüferinnen und Prüfer ihre Aufmerksamkeit gezielt auf risikorelevante Sachverhalte und hochkomplexe Fragestellungen lenken, statt Zeit mit manuellen Stichproben zu verbringen.

Technologisch ermöglicht die Kombination aus Azure-Infrastruktur und KI-Funktionen eine sichere, skalierbare und nachvollziehbare Analyse selbst in stark regulierten Umfeldern. Die Plattform ermöglicht, dass neue Funktionen kontinuierlich, innovativ und weltweit konsistent ausgerollt werden können, ohne für jede Rechtsordnung neu entwickelt zu werden, und unterstützt so robuste Governance- und Compliance-Standards.

Für Unternehmen bedeutet das konkret: Prüfungsqualität steigt nicht durch mehr manuelle Arbeit, sondern durch gezieltere Prüfertätigkeit gepaart mit intelligenter Datenlogik, Künstlicher Intelligenz und Technologie, die Ganzheitlichkeit, Präzision und Geschwindigkeit vereint. Unternehmerinnen und Unternehmer erhalten verständliche, nachvollziehbare Ergebnisse: Welche Risiken wurden identifiziert? Welche Annahmen und Daten bilden die Grundlage der Bewertung? Wo wurde professionelles Ermessen eingesetzt? Wie ist der Vergleich in der Branche?

Generative KI in der deutschen Wirtschaft 2025

Wie 18 Branchen künstliche Intelligenz einsetzen: Entscheider:innen berichten über Implementierung, Prozessintegration und die strategische Bedeutung von KI.

Studie herunterladen