Interne Revision und Audit

Aufsichtsrats-Bericht Innenrevision (jährlich)

anymize pseudonymisiert Detail-Bezüge der Findings, bevor die strategische AR-Synthese an GPT, Claude oder Gemini geht. So entsteht ein AR-lesefähiger Jahresbericht nach MaRisk AT 4.4 / § 25d KWG mit Unabhängigkeits-Erklärung und IKS-Gesamtbewertung — strukturell sauber, ohne § 26 BDSG- oder § 43 KWG-Risiken.

In 30 SekundenWas anymize hier leistetIn 5 MinutenPrompt zum KopierenIn 30 MinutenVollständiger Workflow
Mit anymize startenAntrags-Beispiel ansehen

Schwierigkeit: Spezialist · Datenklasse: Mandantendaten · Letztes Review:

Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.

01

Anwendungsbereich

Worum geht es hier?

KI in der Internen Revision und Compliance-Auditierung

Der Aufsichtsrat (Prüfungsausschuss) ist explizit als zweite Berichts-Linie der Innenrevision normiert (MaRisk AT 4.4, § 25d KWG). Der Jahresbericht hat strategische Funktion: Unabhängigkeits-Bestätigung, IKS-Gesamt-Bewertung, kritische Findings, Personal-/Ressourcen-Bedarf, Ausblick. AktG-Pflichten ergänzen die KWG-Säule. KI-gestützte Synthese aus den vier Quartals-Berichten beschleunigt das Drafting.

02

Für wen passt das?

Zielgruppe und Kontext

Rolle
Leiter Interne Revision (Letztverantwortlich), Audit-Manager (Drafting).
Seniorität
Senior — strategische Berichtskompetenz, AktG-/§-25d-KWG-Kenntnis.
Kanzleigröße
Alle MaRisk-pflichtigen Institute mit Aufsichtsrat.
Spezifische Kontexte
Jährlicher Hauptbericht (typisch März/April nach JA-Abschluss); Ad-hoc-Berichte bei wesentlichen Vorkommnissen.
03

Die Situation in der Kanzlei

So bringen Sie Tempo und Sorgfalt zusammen

Ein AR-Jahresbericht der Innenrevision umfasst 15–40 Seiten: Vorwort des Leiters, Unabhängigkeits-Erklärung, IKS-Gesamtbewertung, Plan-Erfüllung, Findings-Jahresübersicht, kritische Themen, Personal-/Budget-Stand, Audit-Universe-Update, Ausblick. Manueller Aufwand: 25–60 h. Inhaltlich enthalten Berichte strategische Bewertungen und sensible Personalstands-Themen; Klasse A bei Detail-Findings; Klasse C bei strategischen Aggregaten. AR-Bericht ist hochsensibel — jede Aussage hat Reputations- und Aufsichts-Relevanz.

04

Was Sie davon haben

Zeit, Wert, Vertraulichkeit

Zeit pro Jahresbericht

8–15 h

Pro Berichts-Entwurf; 1 Bericht/Jahr × 12 h ≈ 12 h Hebel p.a.

AR-Lesefähigkeit

Senior

CRAFT-Prompt erzwingt AR-typische strategische Tonalität — keine operative Detail-Tiefe.

Vertraulichkeit

strukturell

anymize pseudonymisiert Klasse-A-Details; strategische Aggregate bleiben sichtbar.

Konsistenz mit Quartalen

100 %

Synthese aus den vier Quartalsberichten; keine Inkonsistenzen zwischen Vorstands- und AR-Linie.

05

So gehen Sie vor

In 5 Schritten zum Antrag

1

Aggregation der vier Quartals-Berichte; Update Audit-Universe-Stand; Personal-/Budget-Bilanz.

Sie + Audit-Tool

Methodik

2

Strategische Bewertung IKS-Wirksamkeit pro Geschäftsfeld durch Leiter Interne Revision.

Sie (Leiter Interne Revision)

Verantwortung

3

Klasse-Entscheidung: aggregierte Strategien = Klasse C; Detail-Findings = Klasse A.

Sie

Datenschutz

4

anymize pseudonymisiert Detail-Findings vor LLM-Synthese.

anymize

§ 26 BDSG · § 43 KWG

5

LLM-Draft Jahresbericht mit AR-typischer strategischer Sprache.

GPT / Claude / Gemini in anymize

Strukturierung

6

Senior-Audit-Review; CFO-Office-Vor-Abstimmung; Vorstands-Vor-Sicht.

Sie

Aufsichts-Substanz

7

Leiter-Interne-Revision-Sign-off; AR-Prüfungsausschuss-Versand; AR-Sitzungs-Vorlage.

Sie

Governance

06

Womit Sie arbeiten

So setzen Sie anymize konkret ein

Was anymize tut

  • Pseudonymisiert Detail-Findings mit Personen-/Mandanten-Bezug.
  • Bidirektionale Re-Identifikation pro Berichts-Abschnitt.
  • Verarbeitung in deutschen Rechenzentren (Hetzner); AVV nach Art. 28 DSGVO.
  • Konsistente Pseudonymisierung über die vier Quartals-Berichte hinweg.

Was Sie als Revision tun

  • Aggregation der vier Quartalsberichte; Audit-Universe-Update; Personal-/Budget-Bilanz.
  • Strategische IKS-Bewertung formulieren — KI strukturiert, ersetzt nicht.
  • CFO-Office-Vor-Abstimmung und Vorstands-Vor-Sicht.
  • Leiter-Interne-Revision-Sign-off; AR-Prüfungsausschuss-Versand.

Daten-Input

Vier Quartalsberichte 2026, Audit-Universe-Update, Personal-Stand, Budget-Bilanz, strategische IKS-Bewertung des Leiters Interne Revision, Vorperiode-AR-Bericht.

Output-Kontrolle

Pseudonymisierter Korpus geht an die KI. Re-identifizierter AR-Jahresbericht mit Vorwort, Unabhängigkeits-Erklärung, IKS-Gesamtbewertung, Findings-Jahresübersicht, Top-Risiken, Personal-Stand und Ausblick kommt zurück.

Freigabeprozess

Audit-Manager → Leiter Interne Revision → ggf. CFO → Vorstand-Vor-Sicht → AR-Prüfungsausschuss.

07

Die KI-Anweisung

Prompt zum Kopieren

So nutzen Sie diesen Prompt:

1. Vier Quartalsberichte und Audit-Universe-Update in anymize einfügen.

2. Diesen Prompt anhängen; im Thinking-Modus starten.

3. Strategische IKS-Bewertung manuell formulieren; KI synthetisiert.

4. CFO-Office- und Vorstands-Vor-Sicht; AR-Versand.

Reasoning-Modus: Thinking-Modus.
# Context (C)
Du unterstuetzt die Erstellung des jaehrlichen Berichts der
Innenrevision an den Aufsichtsrat / Pruefungsausschuss eines
deutschen BaFin-beaufsichtigten Instituts nach MaRisk AT 4.4 /
§ 25d KWG. Rechtsstand: <heutiges Datum>. Eingabe enthaelt
pseudonymisierte Detail-Findings ([[Kategorie-Hash]]) und
Klartext-Aggregate.

# Role (R)
Du agierst als AR-Bericht-Drafting-Assistenz. Du kennst MaRisk AT 4.4,
§ 25d KWG, AktG-Aufsichtsrats-Pflichten, IIA-Standards. Tonalitaet:
strategisch, sachlich, AR-Lesefaehigkeit.

# Action (A)
1. Vorwort des Leiters Interne Revision (3–5 Saetze).
2. Unabhaengigkeits-Erklaerung (Pflicht-Element).
3. IKS-Gesamtbewertung pro Geschaeftsfeld.
4. Plan-Erfuellung Jahr (% abgeschlossen).
5. Findings-Jahresuebersicht.
6. Top-5-kritische-Themen mit strategischem Kontext.
7. Personal-/Budget-Stand; Ressourcen-Bedarf naechstes Jahr.
8. Audit-Universe-Update; Ausblick naechste Periode.
9. "[VERIFY: ...]"-Marker.

# Format (F)
Strukturierte Abschnitte; Tabellen fuer Statistik; Vorwort als
Fliesstext.

# Target Audience (T)
Aufsichtsrat / Pruefungsausschuss; strategische Lesefaehigkeit.

# Verbote
KEINE operative Detail-Tiefe (das ist Vorstands-Quartalsbericht).
KEINE Schuld-Zuweisung an konkrete Personen.
KEINE Unabhaengigkeits-Aussage ohne Bezug auf MaRisk AT 4.4.
08

So sieht der Sachverhalt aus

Pseudonymisierter Eingabetext

AR-Jahresbericht-Korpus nach anymize-Anonymisierung.
AR-Jahresbericht-Briefing 2025

Plan-Erfüllung 2025: 22 von 22 Prüfungen abgeschlossen (100 %).
Findings 2025: 142 neu, 128 geschlossen, 14 offen Ende-Jahr.

IKS-Gesamtbewertung Leiter Interne Revision:
- Kredit: angemessen (mit Verbesserungs-Bedarf bei Sicherheiten-Frische)
- Treasury: angemessen
- ZV: angemessen
- IT/BAIT: teilweise (IT-Berechtigungs-Konzept persistent, KI-Inventar
  ausstehend)
- AML/Compliance: angemessen mit Einschränkungen (Schulungs-Quote)
- HR-Berechtigungen: nicht angemessen (Last-Audit > 36 Monate)

Top-5-Themen 2025:
1. IT-Berechtigungs-Konzept (F-2024-088 — eskaliert)
2. Sicherheiten-Frische Firmenkundenkredit (F-2026-051 — systemisch)
3. ESG-/CSRD-Erstprüfung Vorbereitung Q3/2026
4. KI-Inventar nach BaFin-Orientierungshilfe (Dez 2025)
5. DORA-Compliance-Reifegrad

Personal: 8/9 FTE; 1 offene Position seit 11/2025
Budget: 1,8 Mio. EUR (Plan 2,0 Mio.); Mehrbedarf 2026 +1 FTE
09

So liefert anymize zurück

Der Antrags-Entwurf

KI-Output (Beispiel). AR-Lesefähigkeit; strategische Tonalität; keine operative Detail-Tiefe.
# Bericht der Innenrevision an den Prüfungsausschuss
## Berichtsjahr 2025

## Vorwort
Die Innenrevision hat im Berichtsjahr 2025 alle 22 geplanten Prüfungen
vollständig abgeschlossen. Drei systemische Themen prägen die
strategische Sicht: IT-Berechtigungs-Konzept, Sicherheiten-Frische
Firmenkundenkredit und die KI-Inventar-Anforderungen aus der BaFin-
Orientierungshilfe vom 18.12.2025. Die Funktion ist unabhängig und
mit aktuell 8 von 9 FTE-Stellen ausgestattet; für 2026 ist ein
zusätzlicher FTE-Bedarf von einer Position absehbar.

## Unabhängigkeits-Erklärung
Die Innenrevision war im Berichtsjahr 2025 in ihrer Funktions-
Ausübung unabhängig im Sinne von MaRisk AT 4.4. Keine Einschränkung
der Prüfungs-Freiheit durch operative Bereiche.

## IKS-Gesamtbewertung
| Geschäftsfeld | Bewertung |
|---|---|
| Kredit | angemessen (Verbesserungs-Bedarf Sicherheiten-Frische) |
| Treasury | angemessen |
| Zahlungsverkehr | angemessen |
| IT / BAIT | teilweise — Berechtigungs-Konzept und KI-Inventar ausstehend |
| AML / Compliance | angemessen mit Einschränkungen (Schulungs-Quote 94 %) |
| HR-Berechtigungen | nicht angemessen — Last-Audit > 36 Monate, Sonder-Prüfung 2026 |

## Top-5-Themen 2025
1. IT-Berechtigungs-Konzept Buchhaltung (F-2024-088) — eskaliert.
2. Sicherheiten-Frische Firmenkundenkredit (F-2026-051) — systemisch.
3. ESG-/CSRD-Erstprüfung Vorbereitung Q3/2026.
4. KI-Inventar nach BaFin-Orientierungshilfe vom 18.12.2025.
5. DORA-Compliance-Reifegrad.

## Personal- und Budget-Stand
8 von 9 FTE-Stellen besetzt; eine offene Position seit 11/2025 in
Besetzung. Budget 1,8 Mio. EUR (Plan 2,0 Mio. EUR). Für 2026 wird
ein Mehrbedarf von einer FTE-Stelle empfohlen (KI-Audit-Kompetenz).

## Ausblick 2026
Prüfungsplan 2026 enthält 22 Prüfungen; Schwerpunkte CSRD/ESG-
Erstprüfung, KI-Modell-Audits, DORA-Compliance, HR-Berechtigungen.

[VERIFY: KI-Inventar-Vollständigkeit gegen BaFin-Orientierungshilfe-
Anforderungen]
10

Was das Berufsrecht verlangt

Pflichten — und wie anymize sie abdeckt

MaRisk AT 4.4 (SRC-0115)

AR-Berichts-Pflicht mit Unabhängigkeits-Erklärung und IKS-Bewertung.

§ 25d KWG

Aufgaben des Aufsichtsrats / Prüfungsausschusses; Innenrevision berichtet direkt.

AktG-Pflichten

Aufsichtsrats-Pflichten nach AktG; AR-Bericht ist Teil der Aufsichts-Substanz.

§ 25a KWG (SRC-0106)

IKS-Letztverantwortung Geschäftsleitung; AR überwacht.

§ 26 BDSG (SRC-0144)

Personalstands-Themen in AR-Bericht sind sensible Beschäftigtendaten.

§ 43 KWG (SRC-0109)

Mandanten-Bezüge in kritischen Findings sind Bankgeheimnis.

Strategische vs. operative Tiefe

AR-Bericht muss strategisch bleiben; operative Detail-Tiefe ist Vorstands-Bericht-Sache.

11

Datenschutz und Vertraulichkeit

So funktioniert das mit anymize

Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 25a / § 25d KWG und AktG; für Personaldaten § 26 BDSG; für Mandanten-Bezüge § 43 KWG. AVV nach Art. 28 DSGVO mit Auslagerungs-Annex nach § 25b KWG Standard. Verarbeitung in deutschen Rechenzentren (Hetzner).

Was anymize konkret leistet

  • Pseudonymisiert Detail-Findings für die strategische AR-Synthese.
  • Konsistente Pseudonymisierung über die vier Quartalsberichte.
  • Bidirektionale Re-Identifikation pro Berichts-Abschnitt.
  • Verarbeitung in deutschen Rechenzentren (Hetzner); AVV im Standardvertrag.
12

Sicherheitscheck vor der Einreichung

Was anymize liefert — was Sie souverän entscheiden

Aggregation

  • Alle vier Quartalsberichte berücksichtigt?
  • Audit-Universe-Update integriert?
  • Personal-/Budget-Bilanz aktuell?

Strategische Bewertung

  • IKS-Gesamtbewertung pro Geschäftsfeld?
  • Unabhängigkeits-Erklärung enthalten?
  • Top-5-Themen mit strategischem Kontext?

Vor dem AR-Versand

  • CFO-Office-Vor-Abstimmung?
  • Vorstands-Vor-Sicht?
  • Leiter-Interne-Revision-Sign-off?
  • AR-Sitzungs-Vorlage erstellt?

Typische Fehlermuster — und wie anymize gegensteuert

  • KI verfällt in operative Detail-Tiefe — AR-Lesefähigkeit leidet.
  • KI vergisst Unabhängigkeits-Erklärung (Pflicht-Element).
  • KI weist Schuld an konkrete Mitarbeitende zu — Persönlichkeits-Risiko.
  • KI bagatellisiert nicht angemessen-Bewertung in einem Geschäftsfeld.
  • KI vergisst Ressourcen-Bedarf-Aussage für nächste Periode.
13

Rechtsgrundlagen

Normen, Urteile, Belege

Aufsichtsrechtliche Primärnormen

  • AR-Berichtswesen (SRC-0115)
  • IKS-Letztverantwortung (SRC-0106)
  • Aufsichtsrats-Aufgaben
  • Bankgeheimnis (SRC-0109)
  • Aufsichtsrats-Pflichten

Datenschutz

  • Beschäftigtendatenschutz (SRC-0144)
  • AVV (SRC-0142)
  • KI-Inventar (SRC-0119)

Tool-Markt

  • Audit-Plattform (SRC-0200)
  • GenAI Berichtserstellung (SRC-0152)
  • Synthese (SRC-0156)

Stand: · Nächste Überprüfung:

Hinweis zur Nutzung

Zur Orientierung — nicht als Mandatsersatz

Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.

KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.

Jetzt starten.
14 Tage kostenlos testen.

Alle Modelle. Alle Features. Keine Kreditkarte.

Kostenlos startenWie es funktioniert

Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.

Dein KI-Arbeitsplatz wartet.