Interne Revision und Audit
Audit-Working-Papers strukturierte Erstellung
anymize pseudonymisiert Interview-Partner-Namen, Bearbeiter-Identifikatoren und Mandanten-IDs, bevor das Working-Paper-Skelett an GPT, Claude oder Gemini geht. So entstehen IDW-PS-460-konforme Audit-Trail-Papers in 10–20 % weniger Zeit — strukturell sauber, ohne § 26 BDSG- oder § 43 KWG-Risiken.
Schwierigkeit: Fortgeschritten · Datenklasse: Mandantendaten · Letztes Review:
Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.
Anwendungsbereich
Worum geht es hier?
Working-Papers bilden den prüfungs-substanziellen Audit-Trail; IDW PS 460 (Dokumentation) verlangt strukturierte Aufzeichnung jeder Prüfungs-Handlung. Pro Prüfung entstehen 20–80 Working-Papers — KI-gestützte Strukturierung beschleunigt die operativ häufigste Audit-Aktivität bei gleichbleibender Audit-Trail-Qualität.
Für wen passt das?
Zielgruppe und Kontext
- Rolle
- Innenrevisor (Drafting), Senior Auditor (Review), IT-Auditor.
- Seniorität
- Junior bis Senior — die Vorlage-konforme Erstellung ist Standard-Arbeit; die Reviewer-Initialen-Pflicht erfordert Senior-Sign-off.
- Kanzleigröße
- Alle MaRisk-pflichtigen Institute.
- Spezifische Kontexte
- Interview-Protokoll, Walk-through-Doku, Stichproben-Bewertungs-Sheet, Test-of-Control-Protokoll, Kontroll-Beobachtungs-Sheet.
Die Situation in der Kanzlei
So bringen Sie Tempo und Sorgfalt zusammen
Pro Prüfung entstehen 20–80 Working-Papers, je 1–5 Seiten. Manueller Aufwand: 20–80 Minuten pro Working-Paper. Inhaltlich enthalten Working-Papers durchgängig Personenbezüge (Interview-Partner, Bearbeiter), Mandanten-Bezüge (Akten-Inhalte), Konto-Nummern und Beträge — Klasse A. Working-Papers sind Beweismittel im aufsichtsrechtlichen Streitfall; ungenaue Doku ist Schwäche. anymize pseudonymisiert vor der KI-Strukturierung; die Re-Identifikation erfolgt erst beim Audit-Tool-Eintrag mit Reviewer-Initialen.
Was Sie davon haben
Zeit, Wert, Vertraulichkeit
Zeit pro Working-Paper-Bündel
1–3 h
10–20 % der Working-Paper-Zeit pro Prüfung. Real ≈ 50–100 h Hebel p.a.
Vorlage-Konformität
100 %
CRAFT-Prompt erzwingt Vorlage-Struktur (Interview / Walk-through / Stichprobe / Test-of-Control) — keine Audit-Trail-Lücken.
Vertraulichkeit
strukturell
anymize pseudonymisiert Interview-Partner-Namen, Bearbeiter-Identifikatoren und Mandanten-IDs.
IDW-PS-460-Konformität
geprüft
Reviewer-Initialen-Pflicht; Datum-Eintrag; Verlinkung zu Finding.
So gehen Sie vor
In 5 Schritten zum Antrag
Working-Paper-Vorlage auswählen (Interview / Walk-through / Stichprobe / Test-of-Control).
Sie
Methodik
Roh-Daten erfassen: Interview-Notizen, Beobachtungen, Test-Ergebnisse.
Sie
Substanz
Klasse-Entscheidung: Personenbezüge = Klasse A.
Sie
Datenschutz
anymize pseudonymisiert Interview-Partner-Namen, Bearbeiter-Identifikatoren und Mandanten-IDs.
anymize
§ 26 BDSG · § 43 KWG
LLM-Strukturierung in Working-Paper-Format (Vorlage-konform).
GPT / Claude / Gemini in anymize
Konsistenz
Re-Identifikation; Senior-Audit-Review mit Reviewer-Initialen-Pflicht.
Sie
Audit-Trail
Archivierung in Audit-Tool mit Verlinkung zu Finding.
Sie
IDW PS 460
Womit Sie arbeiten
So setzen Sie anymize konkret ein
Was anymize tut
- Pseudonymisiert Interview-Partner-Namen, Bearbeiter-Identifikatoren und Mandanten-IDs.
- Bidirektionale Re-Identifikation pro Working-Paper.
- Konsistente Pseudonymisierung über die Prüfungs-Working-Papers hinweg.
- Verarbeitung in deutschen Rechenzentren (Hetzner); AVV nach Art. 28 DSGVO.
Was Sie als Revision tun
- Roh-Daten (Interview-Notizen, Beobachtungen) erfassen.
- Vorlage-Auswahl entsprechend Working-Paper-Typ.
- Senior-Audit-Review mit Reviewer-Initialen vor Archivierung.
- Verlinkung zu Finding und Audit-Tool-Archivierung.
Daten-Input
Interview-Notizen, Walk-through-Beobachtungen, Stichproben-Datenpunkte, Test-of-Control-Ergebnisse, Working-Paper-Vorlage.
Output-Kontrolle
Pseudonymisiertes Working-Paper-Skelett geht an die KI. Re-identifiziertes Vorlage-konformes Working-Paper kommt zurück; Reviewer-Initialen werden manuell ergänzt.
Freigabeprozess
Drafter → Reviewer (Senior); Archivierung in Audit-Tool mit Verlinkung zu Finding.
Die KI-Anweisung
Prompt zum Kopieren
So nutzen Sie diesen Prompt:
1. Roh-Daten in anymize einfügen; Pseudonymisierung läuft automatisch.
2. Vorlage-Typ wählen; diesen Prompt anhängen.
3. Working-Paper kommt vorlage-konform zurück; manuelle Reviewer-Initialen ergänzen.
4. Archivierung in Audit-Tool mit Verlinkung zu Finding.
# Context (C)
Du unterstuetzt die strukturierte Erstellung eines Audit-Working-
Papers in einem deutschen BaFin-beaufsichtigten Institut nach IDW
PS 460 / MaRisk AT 4.4. Rechtsstand: <heutiges Datum>. Eingabe ist
pseudonymisiert: Interview-Partner-Namen, Bearbeiter-Namen,
Mandanten-IDs als [[Kategorie-Hash]].
# Role (R)
Du agierst als Working-Paper-Drafting-Assistenz. Du kennst IDW PS
460 (Dokumentation), MaRisk AT 4.4, Working-Paper-Standard-Strukturen
(Interview-Protokoll / Walk-through / Stichproben-Bewertung / Test-
of-Control).
# Action (A)
Pro Working-Paper:
1. Vorlage-Header: Working-Paper-ID, Pruefungs-Bezug, Datum,
Drafter, Reviewer.
2. Vorlage-konforme Strukturierung (je nach Typ).
3. Sach-Inhalte aus Roh-Daten uebernehmen, neutral formuliert.
4. "[VERIFY: ...]"-Marker bei unklaren Punkten.
5. Conclusion / Bewertung 2–4 Saetze.
# Format (F)
Strukturiert nach Vorlage-Typ; alle Pflicht-Felder enthalten.
# Target Audience (T)
Audit-Trail; spaeter Senior-Auditor zur Review.
# Verbote
KEINE Schuld-Zuweisung an Interview-Partner.
KEIN Working-Paper ohne Header (ID, Datum, Drafter).
KEINE Conclusion ohne Sach-Bezug.So sieht der Sachverhalt aus
Pseudonymisierter Eingabetext
Walk-through-Beobachtungs-Notizen
Prüfung: Sicherheiten-Management Firmenkundenkredit 2026
Datum: 22.02.2026, 10:00–11:30
Begleitung: [[Mitarbeiter-7e2a]] (Leitung Operations Sicherheiten)
Beobachtungen Akte [[Mandant-a3f9]] (Volumen 7,2 Mio. EUR):
- Sicherheiten-Bewertung-Datum 12.01.2024 (12 Monate vor
Genehmigung 22.01.2025)
- Beleg-Verlinkung in DMS vorhanden
- Vier-Augen-Stempel auf Genehmigungs-Bogen
- Storno der ursprünglichen Bewertung 03.06.2024 (Grund: Update
Verkehrswert) — nicht im aktuellen Akten-Auszug ersichtlich
Beobachtungen Akte [[Mandant-b2e7]] (Volumen 4,8 Mio. EUR):
- Sicherheiten-Bewertung-Datum 15.03.2024
- Sub-Konzern-Konzentration im Engagement-Hauptbuch vermerkt
- Vier-Augen-Stempel vorhandenSo liefert anymize zurück
Der Antrags-Entwurf
# Working-Paper WP-2026-PRF12-WT-003 — Walk-through Sicherheiten
**Prüfung:** Sicherheiten-Management Firmenkundenkredit 2026
**Datum:** 22.02.2026
**Drafter:** [zu ergänzen]
**Reviewer:** [zu ergänzen]
**Begleitung:** [[Mitarbeiter-7e2a]] (Leitung Operations Sicherheiten)
## Beobachtungen
### Akte [[Mandant-a3f9]] (Volumen 7,2 Mio. EUR)
| Element | Beobachtung |
|---|---|
| Sicherheiten-Bewertungs-Datum | 12.01.2024 |
| Genehmigungs-Datum | 22.01.2025 |
| Frist-Status | 12 Monate (MaRisk BTO 1.2.5 verlangt ≤6 Monate) |
| Beleg-Verlinkung DMS | vorhanden |
| Vier-Augen | Stempel auf Genehmigungs-Bogen vorhanden |
| Storno-Vermerk | Storno der Bewertung 03.06.2024 (Grund: Update
Verkehrswert) — im aktuellen Akten-Auszug NICHT ersichtlich |
[VERIFY: Storno-Workflow-Lücke — gegen DMS-Audit-Trail prüfen]
### Akte [[Mandant-b2e7]] (Volumen 4,8 Mio. EUR)
| Element | Beobachtung |
|---|---|
| Sicherheiten-Bewertungs-Datum | 15.03.2024 |
| Sub-Konzern-Konzentration | im Engagement-Hauptbuch vermerkt |
| Vier-Augen | Stempel vorhanden |
## Conclusion
Bei Akte [[Mandant-a3f9]] besteht eine MaRisk-BTO-1.2.5-Verstoß-
Indikation (Frische > 6 Monate); ergänzend ist der Storno-Vermerk
im Akten-Auszug nicht ersichtlich — möglicherweise systemische
Dokumentations-Lücke. Akte [[Mandant-b2e7]] zeigt formal korrekte
Dokumentation. Empfehlung: zusätzliche Stichprobe Storno-Workflow.Was das Berufsrecht verlangt
Pflichten — und wie anymize sie abdeckt
IDW PS 460 — Dokumentation
Working-Papers müssen die Prüfungs-Handlung nachvollziehbar dokumentieren. KI-Draft ohne Reviewer-Initialen ist unvollständig.
MaRisk AT 4.4 (SRC-0115)
Innenrevisions-Doku ist Pflicht-Element des IKS.
§ 26 BDSG (SRC-0144)
Interview-Partner-Namen und Bearbeiter-Identifikatoren sind Beschäftigtendaten.
§ 43 KWG (SRC-0109)
Mandanten-Bezüge in Akten-Beobachtungen sind Bankgeheimnis.
Working-Papers als Beweismittel
Im aufsichtsrechtlichen Streitfall sind Working-Papers Beweismittel; ungenaue Doku ist Aufsichts-Schwäche.
Audit-Trail-Integrität
KI-Draft darf den Roh-Inhalt nicht verändern; Sach-Inhalte 1:1 übernehmen, nur strukturieren.
Datenschutz und Vertraulichkeit
So funktioniert das mit anymize
Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 25a KWG und MaRisk AT 4.4; für Mitarbeiterdaten § 26 BDSG; für Mandanten-Bezüge § 43 KWG. AVV nach Art. 28 DSGVO Standard. Verarbeitung in deutschen Rechenzentren (Hetzner).
Was anymize konkret leistet
- Pseudonymisiert Interview-Partner-Namen, Bearbeiter-IDs und Mandanten-IDs.
- Bidirektionale Re-Identifikation pro Working-Paper.
- Konsistente Pseudonymisierung über die Prüfungs-Papers.
- Verarbeitung in deutschen Rechenzentren (Hetzner); AVV im Standardvertrag.
Sicherheitscheck vor der Einreichung
Was anymize liefert — was Sie souverän entscheiden
Working-Paper-Erstellung
- Vorlage-Typ korrekt gewählt?
- Header vollständig (ID, Datum, Drafter, Pruefungs-Bezug)?
- Roh-Daten neutral übernommen (keine Bewertungs-Drift)?
Vor der Archivierung
- Reviewer-Initialen ergänzt?
- Verlinkung zu Finding hergestellt?
- Re-Identifikation korrekt?
Sensible Working-Papers
- Bei Hinweisgeber-/Vorstands-Audit: manueller Draft statt KI?
- Bei Personal-bezogenen Findings: Vier-Augen-Pseudonymisierung?
Typische Fehlermuster — und wie anymize gegensteuert
- →KI verändert Roh-Inhalt der Interview-Notizen — Audit-Trail-Integrität verletzt.
- →KI vergisst Header-Pflicht-Felder.
- →KI weist Interview-Partner Schuld zu — Persönlichkeits-Risiko.
- →KI verzichtet auf [VERIFY: …]-Marker bei unklaren Punkten.
- →KI versucht Vorlage-Typen zu mischen (Interview + Walk-through in einem Paper) — Vorlage-Konformität prüfen.
Rechtsgrundlagen
Normen, Urteile, Belege
Aufsichtsrechtliche Primärnormen und Standards
- Dokumentation — Working-Paper-Standard
- Innenrevisions-Doku (SRC-0115)
- IKS-Letztverantwortung (SRC-0106)
- Bankgeheimnis (SRC-0109)
Datenschutz
- Beschäftigtendatenschutz (SRC-0144)
- AVV (SRC-0142)
- KI-Inventar (SRC-0119)
Tool-Markt
- Audit-Plattform (SRC-0200)
- GRC-Plattform
- Coding-/Synthese-Effekt (SRC-0156)
Stand: · Nächste Überprüfung:
Hinweis zur Nutzung
Zur Orientierung — nicht als Mandatsersatz
Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.
KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.
Jetzt starten.
14 Tage kostenlos testen.
Alle Modelle. Alle Features. Keine Kreditkarte.
Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.
Dein KI-Arbeitsplatz wartet.