Interne Revision und Audit

Audit-Universe-Planung mit Risiko-Heatmap

anymize pseudonymisiert Einheits-Bezüge und Detail-Inputs mit Mitarbeiter-/Mandanten-Bezug, bevor die Heatmap-Synthese an GPT, Claude oder Gemini geht. So entsteht eine MaRisk-AT-4.4-konforme jährliche Audit-Plan-Vorlage mit Bewertung nach vier Dimensionen — strukturell sauber, ohne § 26 BDSG oder § 43 KWG zu berühren.

In 30 SekundenWas anymize hier leistetIn 5 MinutenPrompt zum KopierenIn 30 MinutenVollständiger Workflow
Mit anymize startenAntrags-Beispiel ansehen

Schwierigkeit: Spezialist · Datenklasse: Mandantendaten · Letztes Review:

Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.

01

Anwendungsbereich

Worum geht es hier?

KI in der Internen Revision und Compliance-Auditierung

Audit-Universe-Planung ist die strategische Pflicht-Aufgabe der Innenrevisions-Leitung nach MaRisk AT 4.4. Eine Risiko-Heatmap visualisiert, wo Audit-Kapazität priorisiert werden muss — und gibt eine verteidigungsfähige Begründung gegenüber BaFin und Aufsichtsrats-Prüfungsausschuss. BaFin Risiken im Fokus 2026 liefert die aufsichtsrechtlichen Schwerpunkte (Agentic AI, DORA, Kreditrisiko-Stress, ESG, IKT-Resilienz), die in die Bewertung einfließen müssen.

02

Für wen passt das?

Zielgruppe und Kontext

Rolle
Leiter Interne Revision (Letztentscheid), Audit-Manager Planung, Senior Auditor Methodik. Vorstands- und AR-Prüfungsausschuss-Vorlage gehört dazu.
Seniorität
Senior — strategische Verantwortung, Verständnis Audit-Universe-Definition (alle prüfungsfähigen Einheiten der Bank, inkl. Tochtergesellschaften, Outsourcing-Beziehungen, IT-Anwendungen).
Kanzleigröße
Mittel bis groß. In sehr kleinen Volksbanken/Sparkassen ist das Audit-Universe oft auf 8–15 Einheiten konzentriert und manuelles Heatmap-Erstellen verhältnismäßig.
Spezifische Kontexte
Geschäftsfeld-Cluster (Kredit, Treasury, ZV, Wertpapier, IT, HR, Outsourcing), regulatorische Pflichtprüfungen (BAIT, GwG, BAIT-IT-Sicherheit), Sonder-Prüfungen auf Vorstands-Anweisung, CSRD-Erstprüfung 2026.
03

Die Situation in der Kanzlei

So bringen Sie Tempo und Sorgfalt zusammen

Ein typisches Bank-Audit-Universe umfasst 40–120 prüfungsfähige Einheiten: Geschäftsfelder, Prozesse, IT-Anwendungen, Auslagerungs-Beziehungen, Tochtergesellschaften. Die jährliche Risiko-Bewertung mit vier Dimensionen (Inhärent-Risiko, Kontroll-Reife, Letzte-Prüfung-Alter, aufsichtsrechtliche Sensibilität) ist eine zeitintensive Sammel- und Konsolidierungs-Aufgabe. Manueller Aufwand: 30–80 h pro Jahres-Planung. Inhaltlich enthalten die Bewertungen sensible Aussagen zu Schwächen einzelner Bereiche, Mitarbeiter-Kapazitäten, Mandanten-Konzentrationen — Klasse A. anymize pseudonymisiert die Klasse-A-Inputs (Vorperiode-Findings, konkrete Mitarbeiter-Bezüge) vor der LLM-Synthese; aggregierte Bewertungen ohne Personen-/Mandanten-Bezug können als Klasse C behandelt werden.

04

Was Sie davon haben

Zeit, Wert, Vertraulichkeit

Zeit pro Jahres-Planung

10–20 h

Für die Heatmap-Synthese; Hauptwert ist Plan-Qualität, nicht Zeit. Quartals-Updates statt nur Jahres-Bewertung werden möglich.

Adaptive Plan-Steuerung

Quartal

Quartals-Updates der Heatmap erlauben adaptive Reaktion auf neue BaFin-Schwerpunkte oder Risiko-Events — qualitativer Effekt.

Vertraulichkeit

strukturell

anymize pseudonymisiert Detail-Inputs mit Personen-/Mandanten-Bezug. Aggregierte Bewertungen können als Klasse C behandelt werden.

BaFin-Schwerpunkte

100 %

BaFin Risiken im Fokus 2026 (Agentic AI, DORA, Kreditrisiko, ESG, IKT-Resilienz) werden systematisch in die Bewertung eingespeist — Blind-Spot-Schutz.

05

So gehen Sie vor

In 5 Schritten zum Antrag

1

Audit-Universe-Inventar erstellen: alle prüfungsfähigen Einheiten mit Eigentümer, Geschäftsfeld, regulatorischem Bezug. KI-Inventar nach BaFin-Orientierungshilfe als eigene Einheit aufnehmen.

Sie

Methodik

2

Daten-Sammlung pro Einheit: Vorperiode-Findings, Risk-Office-Indikatoren, aufsichtsrechtliche Schwerpunkt-Themen (BaFin Risiken im Fokus 2026), externe Markt-Signale.

Sie + Tools

BCBS 239 Datenqualität

3

Klasse-Entscheidung: aggregierte Risiko-Bewertungen ohne Personen-/Mandanten-Bezug = Klasse C; Detail-Inputs mit Mitarbeiter-/Mandanten-Bezug = Klasse A.

Sie

Datenschutz

4

anymize pseudonymisiert die Klasse-A-Inputs (Vorperiode-Findings, konkrete Mitarbeiter-/Mandanten-Bezüge) vor der LLM-Synthese.

anymize

§ 26 BDSG · § 43 KWG

5

LLM-Synthese: pro Einheit ein Risiko-Score je Dimension (1–5), Begründung 2–3 Sätze, [VERIFY: …]-Marker für alle Annahmen.

GPT / Claude / Gemini in anymize

Strukturierung

6

Audit-Manager-Review pro Einheit; Heatmap-Visualisierung (Matrix Inhärent-Risiko × Kontroll-Reife). Konsistenz-Check gegen BaFin-Schwerpunkte.

Sie

Verantwortung · BaFin-Konformität

7

Audit-Plan-Ableitung: Welche Einheiten in 2026 prüfen? Welche Frequenz (jährlich / 2-jährlich / 3-jährlich)? Pflicht-Rotation gegen Blind-Spot-Risiko.

Sie

MaRisk AT 4.4

8

Leiter-Interne-Revision-Sign-off; Vorstands-Vorlage; Aufsichtsrats-Prüfungsausschuss-Vorlage; revisionssichere Archivierung.

Sie

Governance · § 25a KWG

06

Womit Sie arbeiten

So setzen Sie anymize konkret ein

Was anymize tut

  • Pseudonymisiert Detail-Inputs mit Mitarbeiter-/Mandanten-Bezug konsistent mit `[[Kategorie-Hash]]`-Platzhaltern.
  • Erkennt Einheits-Bezeichnungen mit Personen-Bezug (Leitung Vertrieb Region Süd), die in kleinen Häusern re-identifizierbar sind.
  • Re-Identifikation der Heatmap-Begründungen kontrolliert pro Einheit.
  • Verarbeitung in deutschen Rechenzentren (Hetzner); AVV nach Art. 28 DSGVO im Standardvertrag.

Was Sie als Revision tun

  • Audit-Universe-Definition und Inventar pflegen — alle prüfungsfähigen Einheiten inkl. KI-Inventar.
  • BaFin Risiken im Fokus 2026 und Vorperiode-Findings in die Bewertung einspeisen.
  • Pflicht-Rotation gegen Blind-Spot-Risiko sicherstellen (jeder Bereich min. alle 3 Jahre).
  • Leiter-Interne-Revision-Sign-off; Vorstands-/AR-Vorlage; revisionssichere Archivierung.

Daten-Input

Audit-Universe-Inventar, Vorperiode-Findings-Aggregate, Risk-Office-Indikatoren, BaFin Risiken im Fokus 2026, BCBS 239-Datenqualitäts-Reports, externe Markt-Signale (Branchen-Studien, Aufsichts-Meldungen).

Output-Kontrolle

Pseudonymisierte Heatmap-Inputs gehen an die KI. Re-identifizierte Bewertungs-Tabelle mit Inhärent-Risiko, Kontroll-Reife, Letzte-Prüfung-Alter, Aufsichts-Sensibilität, empfohlener Frequenz und [VERIFY: …]-Markern kommt zurück. Plan-Ableitung bleibt beim Leiter Interne Revision.

Freigabeprozess

Audit-Manager → Leiter Interne Revision → Vorstand → AR-Prüfungsausschuss. Bei Risiko-Konstellationen, die Sonderprüfungen erfordern, sofortige Vorstands-Information.

07

Die KI-Anweisung

Prompt zum Kopieren

So nutzen Sie diesen Prompt:

1. Audit-Universe-Liste mit Detail-Inputs in anymize einfügen — Pseudonymisierung der Klasse-A-Anteile läuft automatisch.

2. Diesen Prompt anhängen; im Reasoning-Modus Thinking starten.

3. Konsistenz mit BaFin Risiken im Fokus 2026 prüfen; Pflicht-Rotation gegen Blind-Spot-Risiko sicherstellen.

4. Leiter-Interne-Revision-Sign-off; Vorstands-/AR-Vorlage.

Empfohlener Reasoning-Modus in anymize: Thinking-Modus. Bei sehr großen Audit-Universen (>80 Einheiten) batchweise verarbeiten.
# Context (C)
Du unterstützt die Risiko-Heatmap-Erstellung für das Audit-Universe
einer deutschen BaFin-beaufsichtigten Bank nach MaRisk AT 4.4.
Rechtsstand: <heutiges Datum>. Eingabe ist eine pseudonymisierte
Liste prüfungsfähiger Einheiten mit Vorperiode-Findings-Aggregat,
Risk-Office-Indikator und BaFin-Schwerpunkt-Bezug.

# Role (R)
Du agierst als Audit-Universe-Planungs-Assistenz. Du kennst MaRisk
AT 4.4, § 25a KWG, IDW PS 980, BCBS 239, BAIT, BaFin Risiken im
Fokus 2026 (Agentic AI, DORA, Kreditrisiko-Stress, ESG-Risiken,
IKT-Resilienz).

# Action (A)
Pro Einheit:
1. Inhärent-Risiko-Score (1–5) mit 2-Satz-Begründung.
2. Kontroll-Reife-Score (1–5) mit 2-Satz-Begründung.
3. Letzte-Prüfung-Alter-Faktor (1–5) — kürzer geprüft = niedriger.
4. Aufsichtsrechtliche-Sensibilität-Score (1–5) mit BaFin-
   Schwerpunkt-Bezug.
5. Gesamt-Empfehlung Audit-Frequenz: jährlich / 2-jährlich / 3-
   jährlich.
6. '[VERIFY: …]'-Marker für alle Annahmen.

# Format (F)
Tabelle: | Einheit (Platzhalter) | Inhärent | Kontroll-Reife |
Letzte Prüfung | Aufsicht | Frequenz | VERIFY |

# Target Audience (T)
Audit-Manager und Leiter Interne Revision; menschliche
Letztentscheidung bei Plan-Sign-off.

# Verbote
KEIN Aufsichts-Score ohne BaFin-Schwerpunkt-Bezug.
KEINE Frequenz-Empfehlung 'nie prüfen'.
KEIN BaFin-Zitat ohne '[VERIFY: …]'-Markierung.
08

So sieht der Sachverhalt aus

Pseudonymisierter Eingabetext

Audit-Universe-Liste nach anymize-Anonymisierung. Einheits-Bezeichnungen sind pseudonymisiert; aggregierte Findings-Zahlen und BaFin-Bezüge bleiben sichtbar.
Audit-Universe-Liste — 2026-H2-Planung (Auszug Top-10)

Einheit                              | Letzte Prüfung | Vorperiode-Findings | Indikatoren
[[Einheit-a3f9]] Firmenkundenkredit  | 2024-Q3        | 12 (3 hoch)         | Konzentration Automobilzulieferer
[[Einheit-b2e7]] Privatkundenkredit  | 2025-Q1        | 4 (0 hoch)          | Volumen-Wachstum 18% YoY
[[Einheit-c4d1]] Treasury            | 2023-Q4        | 8 (2 hoch)          | Zins-Wende-Exposition
[[Einheit-d5f3]] Zahlungsverkehr     | 2025-Q2        | 6 (1 hoch)          | DORA-Übergang
[[Einheit-e8a2]] Wertpapier-Bereich  | 2024-Q2        | 9 (2 hoch)          | MiFID-II-Implementation-Updates
[[Einheit-f1c6]] IT-Berechtigungen   | 2024-Q4        | 14 (4 hoch)         | BAIT-Schwerpunkt; KI-Tool-Einführung
[[Einheit-219e]] Outsourcing-Register| 2025-Q3        | 5 (1 hoch)          | DORA Art. 28; SaaS-Erweiterung
[[Einheit-3a8b]] AML-Transaktionsmon | 2025-Q1        | 7 (2 hoch)          | BaFin GwG-Schwerpunkt
[[Einheit-7e2a]] HR-Berechtigungen   | 2022-Q3        | 3 (1 hoch)          | § 26 BDSG; alt
[[Einheit-9f1c]] ESG-Reporting       | nie geprüft    | 0                   | CSRD-Erstanwendung 2026
09

So liefert anymize zurück

Der Antrags-Entwurf

KI-Output (Beispiel). Die Frequenz-Empfehlungen sind Vorschlag; der Leiter Interne Revision bleibt Letztverantwortlicher.
| Einheit | Inhär. | Kontroll-Reife | Prüf.-Alter | Aufsicht | Frequenz | VERIFY |
|---|---|---|---|---|---|---|
| [[Einheit-a3f9]] Firmenkundenkredit | 5 (großvolumig, Branchen-Konzentration) | 3 (12 Findings) | 4 (>20 Monate) | 5 (BaFin-Schwerpunkt Kreditrisiko 2026) | **jährlich** | [VERIFY: Konzentrations-Limit gegen § 13 KWG] |
| [[Einheit-b2e7]] Privatkundenkredit | 3 (Standard-Volumen) | 4 (4 Findings) | 3 (12 Monate) | 4 (EuGH C-634/21 Schufa) | 2-jährlich | [VERIFY: Schufa-Konformität] |
| [[Einheit-c4d1]] Treasury | 4 (Zins-Wende-Exposition) | 3 (8 Findings) | 5 (>26 Monate) | 4 (MaRisk Treasury-Schwerpunkt) | **jährlich** | [VERIFY: ICAAP-Konsistenz] |
| [[Einheit-d5f3]] Zahlungsverkehr | 4 (DORA-Übergang) | 4 (6 Findings) | 3 (12 Monate) | 5 (DORA Art. 17 4h-Meldung) | **jährlich** | [VERIFY: DORA-Inventar] |
| [[Einheit-f1c6]] IT-Berechtigungen | 4 (14 Findings; KI-Tool-Einführung) | 2 (4 hoch in Vorperiode) | 4 (>16 Monate) | 5 (BAIT + BaFin KI-Inventar) | **jährlich + Quartals-Update** | [VERIFY: KI-Inventar nach Orientierungshilfe Dez 2025] |
| [[Einheit-219e]] Outsourcing-Register | 4 (SaaS-Erweiterung; DORA Art. 28) | 4 (5 Findings) | 3 (10 Monate) | 5 (DORA-Inkrafttreten) | **jährlich** | [VERIFY: Vollständigkeit DORA-Register] |
| [[Einheit-3a8b]] AML-Transaktionsmon | 5 (BaFin-Schwerpunkt; § 25h KWG) | 3 (7 Findings) | 3 (12 Monate) | 5 (BaFin GwG-Update 2024) | **jährlich** | [VERIFY: ACTICO-Modell-Validierung] |
| [[Einheit-7e2a]] HR-Berechtigungen | 3 (Routine) | 4 (3 Findings) | 5 (>36 Monate; § 26 BDSG-Risiko) | 4 (Beschäftigtendaten + Schatten-KI) | **jährlich** (überfällig) | [VERIFY: Letzte DPIA-Aktualisierung] |
| [[Einheit-9f1c]] ESG-Reporting | 4 (CSRD-Erstanwendung) | 2 (nie geprüft) | 5 (nie) | 5 (CSRD + SFDR) | **jährlich** | [VERIFY: ESG-Datenbasis nach BCBS 239] |

## Empfohlene Prüfungsplan-Schwerpunkte 2026
1. IT-Berechtigungen + KI-Inventar — jährlich + Quartals-Update.
2. ESG-Reporting — Erstprüfung 2026.
3. Firmenkundenkredit, AML, Outsourcing, Treasury, DORA-ZV — jährlich.
4. HR-Berechtigungen — Sonder-Prüfung 2026 wegen Alter > 36 Monate.
5. Privatkundenkredit, Wertpapier-Bereich — 2-jährlich Rotation.

## Unsicherheiten
- Risk-Office-Indikatoren wurden für [[Einheit-c4d1]] und
  [[Einheit-219e]] qualitativ paraphrasiert — quantitative
  Validierung empfohlen.
- Aufsichtsrechtliche-Sensibilität-Score basiert auf BaFin Risiken
  im Fokus 2026; nach BaFin-Update neu zu kalibrieren.
10

Was das Berufsrecht verlangt

Pflichten — und wie anymize sie abdeckt

MaRisk AT 4.4 (SRC-0115)

Audit-Plan ist Pflicht; Vollständigkeits-Prinzip vs. Risiko-Fokussierung balancieren. Pflicht-Rotation gegen Blind-Spot-Risiko.

§ 25a KWG (SRC-0106)

IKS-Letztverantwortung; Audit-Plan ist Teil des Steuerungs-Instruments. BaFin-Sonderprüfung kann Plan-Qualität prüfen.

BaFin Risiken im Fokus 2026 (SRC-0125)

Pflicht zur Berücksichtigung der aufsichtsrechtlichen Schwerpunkte: Agentic AI, DORA, Kreditrisiko, ESG-Risiken, IKT-Resilienz. Wer einen dieser Bereiche nicht plant, ist erklärungsbedürftig.

BCBS 239 (SRC-0205)

Datenbasis für Risiko-Bewertung muss konsistent sein. Lückenhafte Vorperiode-Findings = lückenhafte Heatmap.

BaFin Orientierungshilfe IKT/KI (SRC-0119)

KI-Inventar selbst als prüfungsfähige Einheit aufnehmen. Der Audit-Universe-Workflow ist im KI-Inventar zu führen.

§ 26 BDSG (SRC-0144)

Mitarbeiter-Bezug in Bewertungs-Inputs (z.B. Bereich mit Kapazitäts-Engpass) ist Beschäftigtendaten-Verarbeitung. Anonymisierung Pflicht.

Blind-Spot-Risiko

Plan darf keine systematische Vernachlässigung von Bereichen mit historisch niedrigen Findings erzeugen — Pflicht-Rotation (jeder Bereich min. alle 3 Jahre).

11

Datenschutz und Vertraulichkeit

So funktioniert das mit anymize

Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 25a KWG (gesetzliche Pflicht zur Audit-Planung). Bei Detail-Inputs mit Personen-Bezug § 26 BDSG; Mandanten-Bezüge in Detail-Inputs sind durch § 43 KWG geschützt. AVV nach Art. 28 DSGVO mit Auslagerungs-Annex nach § 25b KWG ist Standard. Die Heatmap-Ergebnisse sind selbst Klasse A (Schwächen-Inventar der Bank), revisionssicher zu archivieren und nicht außerhalb der Bank zu verteilen — außer an die zuständigen Adressaten Vorstand und AR-Prüfungsausschuss.

Was anymize konkret leistet

  • Erkennt Einheits-Bezeichnungen mit Personen-Bezug und pseudonymisiert sie konsistent.
  • Pseudonymisiert Detail-Inputs (Vorperiode-Findings mit Personen-/Mandanten-Bezug) vor der LLM-Synthese.
  • Re-Identifikation der Heatmap-Begründungen kontrolliert pro Einheit.
  • Verarbeitung in deutschen Rechenzentren (Hetzner); AVV nach Art. 28 DSGVO im Standardvertrag.
  • Originaldokumente werden nicht gespeichert.
12

Sicherheitscheck vor der Einreichung

Was anymize liefert — was Sie souverän entscheiden

Audit-Universe-Inventar

  • Alle prüfungsfähigen Einheiten erfasst (inkl. Tochtergesellschaften, Auslagerungen, IT-Apps)?
  • KI-Inventar nach BaFin-Orientierungshilfe als Einheit aufgenommen?
  • Pflicht-Rotations-Liste (3-Jahres-Mindestfrequenz) gepflegt?

Bewertungs-Inputs

  • Vorperiode-Findings-Aggregat pro Einheit?
  • Risk-Office-Indikatoren beigefügt?
  • BaFin Risiken im Fokus 2026 abgeglichen?
  • BCBS-239-Datenqualität geprüft?

Vor dem Sign-off

  • Audit-Manager-Review pro Einheit?
  • Konsistenz zur Vorperiode geprüft?
  • Pflicht-Rotation gegen Blind-Spot-Risiko erfüllt?
  • Vorstands-/AR-Vorlage aufbereitet?

Typische Fehlermuster — und wie anymize gegensteuert

  • KI vergisst BaFin-Schwerpunkte (z.B. CSRD/ESG) und produziert einen Plan ohne aufsichtsrechtliche Linie.
  • KI empfiehlt 3-jährlich für einen Bereich mit überfälliger Prüfung — Frequenz-Logik gegen Pflicht-Rotation prüfen.
  • KI halluziniert eine BaFin-Veröffentlichung (Risiken im Fokus 2027) — Pflicht-Verifikation gegen BaFin-Website.
  • KI nimmt unkritisch alle Risk-Office-Indikatoren als Faktum, obwohl BCBS-239-Datenqualität lückenhaft ist.
  • KI verzichtet auf [VERIFY: …]-Marker — Faktencheck wird oberflächlich.
13

Rechtsgrundlagen

Normen, Urteile, Belege

Aufsichtsrechtliche Primärnormen

  • Audit-Plan-Pflicht (SRC-0115)
  • IKS-Letztverantwortung (SRC-0106)
  • Datenbasis (SRC-0205)
  • Aufsichtsrechtliche Schwerpunkte (SRC-0125)
  • KI-Inventar (SRC-0119)

Datenschutz

  • Beschäftigtendatenschutz (SRC-0144)
  • Bankgeheimnis (SRC-0109)
  • AVV (SRC-0142)

Aufsichtsrechtliche Schwerpunkte 2026

  • IKT-Resilienz
  • IT-Aufsicht
  • ESG-Reporting
  • AML-Transaktionsmonitoring

Tool-Markt

  • Audit-Plattform (SRC-0200)
  • GRC-Integration
  • Risiko-Planung Top-GenAI (SRC-0152)

Stand: · Nächste Überprüfung:

Hinweis zur Nutzung

Zur Orientierung — nicht als Mandatsersatz

Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.

KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.

Jetzt starten.
14 Tage kostenlos testen.

Alle Modelle. Alle Features. Keine Kreditkarte.

Kostenlos startenWie es funktioniert

Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.

Dein KI-Arbeitsplatz wartet.