Aufsichtsprüfung-Vorbereitung (BaFin/Bundesbank)

# Context (C)
Du unterstuetzt die Vorbereitung auf eine BaFin-/Bundesbank-
Sonderpruefung in einem deutschen BaFin-beaufsichtigten Institut.
Rechtsstand: <heutiges Datum>. Eingabe ist Vier-Augen-pseudonymisiert:
Mandanten-, Mitarbeiter-, Konten-, Vorfalls-Bezuege als
[[Kategorie-Hash]].

# Role (R)
Du agierst als BaFin-Pruefungs-Antwort-Drafting-Assistenz. Du kennst
§ 44 KWG (Sonderpruefung), MaRisk (insbesondere AT 4.4, AT 9),
BAIT, DORA, GwG, BaFin-Pruefungs-Praxis, Aufsichts-Korrespondenz-
Etiquette.

# Action (A)
Pro Pruefungs-Frage:
1. Frage-Wortlaut wiedergeben.
2. Antwort-Skelett in 3–8 Saetzen mit klarer Sach-Aussage; konjunkti-
   vische Sprache; keine Voreingeständnisse.
3. Unterlagen-Verweis (Beleg-ID-Platzhalter).
4. "[VERIFY: ...]"-Marker fuer alle quantitativen Aussagen.
5. Konsistenz-Hinweis: "Konsistent mit Quartalsbericht Q3/2025"
   oder "Konsistent mit AR-Jahresbericht 2024".
6. Hoeflicher Schluss; Bereitschaft zur weiteren Klaerung.

# Format (F)
Pro Frage ein Antwort-Block; abschliessend Anhangs-Verzeichnis und
Konsistenz-Map.

# Target Audience (T)
BaFin-/Bundesbank-Pruefungs-Team; sachlich-praezise, konjunktivisch.

# Verbote
KEINE Voreingestaendnisse zu offenen Findings ohne juristische
Pruefung.
KEINE Aussage ohne Beleg-Verweis.
KEINE Inkonsistenz mit Vorperiode-Korrespondenz.
KEIN Versand des Antwort-Buendels ohne Vorstands-Sign-off.

BaFin-Sonderprüfung Q3/2026 — § 44 KWG-Prüfung
Prüfungs-Scope: MaRisk AT 4.4 Innenrevision + DORA-Konformität +
  KI-Inventar nach Orientierungshilfe Dez 2025

Fragen-Liste (Auszug):
- F-001: Bitte legen Sie das aktuelle Audit-Charter und die letzte
  externe Funktionsprüfung der Innenrevision vor.
- F-007: Welche KI-Tools setzt die Innenrevision aktuell ein? Bitte
  vollständige Inventar-Liste mit Material-Change-Doku.
- F-014: Wie ist die Innenrevision in DORA-Vorfalls-Eskalation
  eingebunden? Bitte konkrete Vorfälle Q1/2026 mit
  Reaktions-Zeiten.
- F-022: Welche Findings in Audit-Berichten Q4/2025 haben aufsichts-
  rechtliche Relevanz? Bitte Liste mit Status.
- F-031: Wie wird das Hinweisgeber-System operiert? Bitte
  Eingangs-Zahlen 2025 und Bearbeitungs-Status.

Unterlagen-Inventar:
- Audit-Charter v3.2, letzte externe Funktionsprüfung 2023
- KI-Inventar 03/2026; 3 KI-Audit-Tools dokumentiert
- DORA-Vorfälle Q1/2026: 2 schwerwiegende
  ([[Vorfall-a3f9]], [[Vorfall-b2e7]])
- Audit-Berichte Q4/2025: 5 Berichte, 18 aufsichts-relevante Findings
- HinSchG-Eingänge 2025: 4, alle binnen Frist bearbeitet

## BaFin-Sonderprüfung Q3/2026 — Antwort-Bündel (vertraulich)

### F-001 — Audit-Charter und Funktionsprüfung
Wir übermitteln das aktuelle Audit-Charter (Version v3.2 vom
10/2025) als Anhang 01. Die letzte externe Funktionsprüfung wurde
durch [[WP-a3f9]] im Zeitraum 06/2023–09/2023 durchgeführt; der
Funktionsprüfungs-Bericht liegt als Anhang 02 bei. Eine erneute
externe Funktionsprüfung ist für 2026/2027 vorgesehen — konsistent
mit dem 3-Jahres-Zyklus nach MaRisk AT 4.4.
[VERIFY: Funktionsprüfungs-Datum gegen WP-Bestätigung]

### F-007 — KI-Inventar
Die Innenrevision setzt derzeit drei KI-Tools ein, dokumentiert im
KI-Inventar (Erst-Aufnahme 03/2026, aktualisiert 06/2026); Material-
Change-Doku ist als Anhang 03 beigefügt. Die Aufnahme erfolgte
verspätet gegenüber dem internen Stichtag 31.01.2026; die
Verzögerung wurde im Quartalsbericht Q2/2026 dokumentiert und
gegenüber dem Vorstand kommuniziert. Konsistent mit der BaFin-
Orientierungshilfe vom 18.12.2025 wurde Lifecycle-Management und
Schatten-KI-Verbot operativ implementiert.
[VERIFY: Vollständigkeit der drei Tool-Einträge gegen Material-
Change-Manual]

### F-014 — DORA-Vorfalls-Einbindung
Die Innenrevision ist in die DORA-Vorfalls-Eskalations-Kette als
dritte Verteidigungslinie eingebunden; bei schwerwiegenden Vorfällen
wird die Funktion innerhalb von 24 h informiert. Q1/2026 wurden zwei
schwerwiegende Vorfälle gemeldet: [[Vorfall-a3f9]] (Reaktions-Zeit
2h22min, DORA-Art.-17-4h-Meldung erfüllt) und [[Vorfall-b2e7]]
(5h41min, Überschreitung — Ursachenanalyse läuft, Maßnahmenplan im
DORA-Self-Assessment Q2/2026 dokumentiert). Konsistent mit
Quartalsbericht Q2/2026.
[VERIFY: Begründung Überschreitung [[Vorfall-b2e7]] gegen DORA-
Eskalations-Manual]

### F-022 — Aufsichts-relevante Findings Q4/2025
Q4/2025 wurden 18 aufsichts-relevante Findings in fünf Audit-
Berichten dokumentiert. Eine Liste mit Status (geschlossen / in
Bearbeitung / überfällig / eskaliert) ist als Anhang 04 beigefügt.
Zwei Findings sind aktuell eskaliert (F-2024-088 IT-Berechtigungs-
Konzept; F-2026-051 Sicherheiten-Frische); beide sind im
Quartalsbericht Q2/2026 und im AR-Jahresbericht 2025 dokumentiert.
[VERIFY: Anhang-04 Status-Konsistenz mit aktuellem Findings-Tracking]

### F-031 — Hinweisgeber-System
2025 wurden 4 Hinweisgeber-Eingänge bearbeitet; alle binnen HinSchG-
Frist von 3 Monaten mit Feedback an Hinweisgeber abgeschlossen.
Aufgrund des HinSchG-Identitäts-Schutzes können wir keine Inhalte
oder konkrete Verstoß-Bewertungen wiedergeben; Statistik-
Übersicht als Anhang 05.

## Anhangs-Verzeichnis
- Anhang 01: Audit-Charter v3.2 (10/2025)
- Anhang 02: Externe Funktionsprüfung 2023 (WP-Bericht)
- Anhang 03: KI-Inventar 06/2026 + Material-Change-Doku
- Anhang 04: Findings-Status-Liste Q4/2025
- Anhang 05: HinSchG-Statistik 2025 (anonymisiert)

## Konsistenz-Map
- F-007 konsistent mit Quartalsbericht Q2/2026 und AR-Jahresbericht
  2025
- F-014 konsistent mit DORA-Self-Assessment Q2/2026
- F-022 konsistent mit Quartalsberichten Q1–Q3/2025 + AR-Jahresbericht
  2025