Interne Revision und Audit
Compliance-Management-Reporting nach IDW PS 980
anymize pseudonymisiert Mitarbeiter-Bezüge, Hinweis-Eingangs-Details und Sanktionierungs-Fälle, bevor der IDW-PS-980-Korpus an GPT, Claude oder Gemini geht. So entsteht eine strukturierte Sieben-Elemente-Bewertung (Konzeption / Angemessenheit / Wirksamkeit) ohne § 26 BDSG-, HinSchG- oder § 130 OWiG-Risiken.
Schwierigkeit: Spezialist · Datenklasse: Mandantendaten · Letztes Review:
Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.
Anwendungsbereich
Worum geht es hier?
IDW PS 980 ist der etablierte deutsche Prüfungs-Standard für Compliance-Management-Systeme. Die Innenrevision prüft entweder einzelne CMS-Module (AML, Sanktionen, Marktmissbrauch, Datenschutz, ABC/Anti-Bribery) oder das CMS als Ganzes. Der Prüfbericht folgt einer festen IDW-Struktur. KI-Hebel: konsistente Strukturierung und Synthese aus Compliance-Office-Inputs, Innenrevisions-Beobachtungen und externen Audit-Resultaten.
Für wen passt das?
Zielgruppe und Kontext
- Rolle
- Compliance-Auditor (Drafting), Senior Auditor Compliance-Audit, Compliance-Office (Kooperation), Leiter Interne Revision (Sign-off).
- Seniorität
- Senior — IDW PS 980 Konzeptions-/Angemessenheits-/Wirksamkeits-Prüfungs-Stufen, § 130 OWiG, § 25a KWG, GwG, HinSchG.
- Kanzleigröße
- Alle BaFin-Beaufsichtigten mit dokumentiertem CMS; auch Mittelstand-Sparkassen mit eigenständigem Compliance-Office.
- Spezifische Kontexte
- Gesamt-CMS-Prüfung, Modul-Prüfung (AML, Sanktionen, Marktmissbrauch, Datenschutz, ABC), Konzern-CMS, externe WP-Kooperation.
Die Situation in der Kanzlei
So bringen Sie Tempo und Sorgfalt zusammen
Ein IDW-PS-980-Prüfbericht umfasst 40–120 Seiten mit fester Struktur: Auftrag, Prüfungs-Gegenstand, Prüfungs-Stufe, Methodik, Bewertung der sieben CMS-Grundelemente (Kultur, Ziele, Risiken, Programm, Organisation, Kommunikation, Überwachung), Findings, Bestätigungsvermerk-Vorschlag. Manuelle Erstellung kostet 30–80 Stunden. Inhaltlich enthalten Berichte sensible Aussagen zu Verstoß-Häufigkeiten, Mitarbeiter-Trainings-Status, Hinweis-Eingängen und Sanktionierungen — durchgängig Klasse A. Falscher Bestätigungsvermerk-Vorschlag (Wirksamkeit gegeben bei tatsächlich schwacher Wirksamkeit) gefährdet den § 130 OWiG-Schutz der Geschäftsleitung — daher Pflicht zur menschlichen Verifikation jeder Bestätigungsaussage.
Was Sie davon haben
Zeit, Wert, Vertraulichkeit
Zeit pro IDW-PS-980-Bericht
10–20 h
Pro Berichts-Entwurf. Bei jährlicher CMS-Prüfung + 2–4 Modul-Prüfungen ≈ 50–100 h Hebel pro Jahr.
Sieben-Elemente-Struktur
100 %
CRAFT-Prompt erzwingt vollständige Bewertung aller sieben CMS-Grundelemente — keine Lücken im Berichts-Skelett.
Vertraulichkeit
strukturell
anymize pseudonymisiert Mitarbeiter-Bezüge, Hinweis-Inhalte (HinSchG-Schutz) und Sanktionierungs-Fälle.
§ 130 OWiG-Schutz
gewahrt
Pflicht-Verifikation jeder Bestätigungsaussage durch Senior Auditor; Schutz der Geschäftsleitung bleibt intakt.
So gehen Sie vor
In 5 Schritten zum Antrag
Prüfungsauftrag und Stufe definieren (Konzeption / Angemessenheit / Wirksamkeit); Prüfungs-Zeitraum, -gegenstand, -tiefe.
Sie
IDW PS 980
Daten-Sammlung pro CMS-Grundelement: Compliance-Office-Doku, Trainings-Statistik, Hinweis-Eingang (HinSchG-konform), Sanktionierungen, Audit-Findings Vorperiode.
Sie + Compliance-Office
Methodik
Klasse-Entscheidung: alle Inputs mit Mitarbeiter-/Mandanten-Bezug = Klasse A. Hinweis-Eingangs-Inhalte sind durch HinSchG geschützt.
Sie
Datenschutz · HinSchG
anymize pseudonymisiert: Mitarbeiter-Funktionen (bei kleinen Einheiten), konkrete Hinweis-Eingangs-Inhalte, Sanktionierungs-Fälle und Mandanten-IDs.
anymize
§ 26 BDSG · § 43 KWG · HinSchG
CRAFT-Prompt: KI-Draft IDW-PS-980-Bericht mit Sieben-Elemente-Bewertung pro Element (Beobachtungen, Bewertung angemessen / teilweise angemessen / nicht angemessen, Findings-Bezug).
GPT / Claude / Gemini in anymize
Strukturierung
Faktencheck: IDW-PS-980-Bewertungs-Logik korrekt? § 130 OWiG-Bezug? § 25a KWG-Verweis? Bestätigungsvermerk-Wortlaut gegen IDW-Anlage verifizieren.
Sie
Aufsichts-Substanz · § 130 OWiG-Schutz
Senior-Audit + Compliance-Office-Review; Leiter-Interne-Revision-Sign-off.
Sie
Verantwortung
Verteilung Vorstand + AR-Prüfungsausschuss; ggf. externe-WP-Bereitstellung; revisionssichere Archivierung.
Sie
Governance
Womit Sie arbeiten
So setzen Sie anymize konkret ein
Was anymize tut
- Pseudonymisiert Mitarbeiter-Bezüge, Hinweis-Eingangs-Inhalte und Sanktionierungs-Fälle konsistent.
- HinSchG-konformer Hinweisgeber-Schutz durch strukturelle Anonymisierung der Inhalte.
- Bidirektionale Re-Identifikation pro Berichts-Abschnitt kontrolliert.
- Verarbeitung in deutschen Rechenzentren (Hetzner); AVV nach Art. 28 DSGVO im Standardvertrag.
Was Sie als Revision tun
- Prüfungs-Auftrag und Stufe (Konzeption / Angemessenheit / Wirksamkeit) klar definieren.
- Daten-Sammlung pro CMS-Grundelement; bei Hinweis-Eingangs-Inhalten Vier-Augen-Prinzip.
- Faktencheck der IDW-PS-980-Bewertungs-Logik und der Bestätigungsvermerk-Voraussetzungen.
- Senior-Audit + Compliance-Office-Review; Leiter-Interne-Revision-Sign-off; Verteilung an Vorstand/AR.
Daten-Input
Compliance-Office-Doku zu allen sieben CMS-Grundelementen, Trainings-Statistik, Hinweis-Eingangs-Log (HinSchG-konform), Sanktions-Screening-Quoten, 2nd-/3rd-Line-Monitoring-Reports, Vorperiode-Findings.
Output-Kontrolle
Pseudonymisierter Korpus geht an die KI. Re-identifizierter Bericht mit Auftrag, Methodik, Sieben-Elemente-Bewertung, Findings-Tabelle und Gesamtaussage zur Wirksamkeit kommt zurück.
Freigabeprozess
Compliance-Auditor → Senior → Compliance-Office → Leiter Interne Revision → Vorstand/AR.
Die KI-Anweisung
Prompt zum Kopieren
So nutzen Sie diesen Prompt:
1. Sieben-Elemente-Korpus mit Vorperiode-Findings und Trainings-Statistik in anymize einfügen.
2. Diesen Prompt anhängen; im Thinking-Modus starten.
3. Faktencheck der IDW-PS-980-Referenzen und Bestätigungsvermerk-Voraussetzungen.
4. Senior-Audit + Compliance-Office-Review; Leiter-Interne-Revision-Sign-off.
# Context (C)
Du unterstützt die Erstellung eines Compliance-Management-System-
Prüfberichts nach IDW PS 980 in einem BaFin-beaufsichtigten Institut.
Rechtsstand: <heutiges Datum>. Eingabe ist pseudonymisiert:
Mitarbeiter-/Mandanten-Bezüge, Hinweis-Eingangs-Details,
Sanktionierungs-Fälle als [[Kategorie-Hash]].
# Role (R)
Du agierst als Compliance-Audit-Drafting-Assistenz. Du kennst IDW
PS 980 (sieben CMS-Grundelemente, drei Prüfungs-Stufen Konzeption/
Angemessenheit/Wirksamkeit), § 130 OWiG, § 25a KWG, § 25h KWG, GwG,
HinSchG.
# Action (A)
1. Auftrag und Prüfungs-Stufe wiedergeben.
2. Methodik in 1–2 Absätzen.
3. Sieben-Elemente-Bewertung — pro Element:
- Element-Name.
- Beobachtungen (3–5 Sätze).
- Bewertung (angemessen / teilweise angemessen / nicht angemessen).
- Findings-Bezug.
4. Findings-Tabelle | ID | Element | Schwere | Befund | Empfehlung |.
5. Gesamtaussage: Wirksamkeits-Bewertung — abgestuft (mit/ohne
Einschränkung), [VERIFY] für Bestätigungsvermerk-Voraussetzungen.
6. Vorsichtige Sprache; keine Schuld-Zuweisung.
# Format (F)
Strukturierte Abschnitte; Tabellen.
# Target Audience (T)
Geschäftsleitung, AR-Prüfungsausschuss, externer WP.
Sachlich-präzise, IDW-PS-980-konform.
# Verbote
KEIN Bestätigungsvermerk-Wortlaut ohne '[VERIFY: …]'-Markierung.
KEINE Wirksamkeits-Aussage 'uneingeschränkt', wenn mind. ein Element
'teilweise angemessen' oder 'nicht angemessen'.
KEINE Schuld-Zuweisung an Personen.So sieht der Sachverhalt aus
Pseudonymisierter Eingabetext
IDW-PS-980-Briefing — Prüfung 'CMS Modul AML 2026'
Prüfungs-Stufe: Wirksamkeitsprüfung
Prüfungs-Zeitraum: 01.07.2025 – 30.06.2026
Prüfungs-Gegenstand: AML-CMS-Modul (AML-Officer-Funktion,
Schulungen, Monitoring, Verdachtsmeldung, Sanktions-Screening)
Element 1 — Compliance-Kultur:
- Tonalität Vorstands-Kommunikation 2x in 2025 zu AML;
nachvollziehbar dokumentiert.
- Mitarbeiter-Umfrage Q3/2025: 76 % bestätigen klare AML-Kultur
(Vorjahr 71 %).
Element 4 — Compliance-Programm:
- Schulungs-Konzept dokumentiert; Trainingsquote 2025 = 94 %
(Soll 95 %).
- 3 Mitarbeiter [[Mitarbeiter-a3f9]], [[Mitarbeiter-b2e7]],
[[Mitarbeiter-c4d1]] haben Pflichtschulung wiederholt versäumt
(> 3 Erinnerungen).
Element 6 — Compliance-Kommunikation:
- Hinweis-Kanal HinSchG-konform seit 17.12.2023; 4 Hinweis-Eingänge
2025 ([[Hinweis-d5f3]], [[Hinweis-e8a2]], [[Hinweis-f1c6]],
[[Hinweis-219e]]).
Element 7 — Compliance-Überwachung:
- 2nd-Line AML-Monitoring monatlich; 3rd-Line Innenrevision Q1/2026
abgeschlossen.
- Festgestellt: Schulungs-Quote 94 % (Ziel 95 %); Sanktions-
Screening-Falsch-Negativ-Rate Q3/2025 1,2 % (Schwelle 1,0 %).So liefert anymize zurück
Der Antrags-Entwurf
## Auftrag und Prüfungs-Stufe
Geprüft wurde das CMS-Modul AML als Wirksamkeitsprüfung nach IDW PS
980 für den Zeitraum 01.07.2025–30.06.2026.
## Methodik
Die Prüfung umfasste Dokumenten-Analyse, Interview mit AML-Officer
und Stellvertretung, Walk-through Verdachtsmeldungs-Prozess,
Stichprobenprüfung von 40 KYC-Akten und 25 Sanktions-Screening-
Falsch-Negativ-Fällen. Bewertungs-Maßstab IDW PS 980 Wirksamkeit.
## Sieben-Elemente-Bewertung
### Element 1 — Compliance-Kultur (angemessen)
Vorstands-Tonalität zur AML wurde in 2025 zweimal kommuniziert;
Mitarbeiter-Umfrage 2025 zeigt eine Verbesserung gegenüber Vorjahr
(76 % vs. 71 %). Bewertung: angemessen.
### Element 4 — Compliance-Programm (teilweise angemessen)
Schulungs-Konzept ist konzeptionell vollständig; die operative
Trainingsquote von 94 % liegt unter dem Soll-Ziel 95 %. Drei
Mitarbeitende ([[Mitarbeiter-a3f9]], [[Mitarbeiter-b2e7]],
[[Mitarbeiter-c4d1]]) haben Pflichtschulungen trotz mehrfacher
Erinnerung wiederholt versäumt. Empfehlung: arbeitsrechtliche
Konsequenz prüfen. Bewertung: teilweise angemessen — Finding
F-CMS-2026-002.
### Element 6 — Compliance-Kommunikation (angemessen)
Hinweis-Kanal HinSchG-konform; vier Hinweis-Eingänge in 2025 wurden
binnen Frist bearbeitet. Bewertung: angemessen.
[VERIFY: HinSchG-Fristen-Konformität pro Hinweis]
### Element 7 — Compliance-Überwachung (teilweise angemessen)
2nd-Line- und 3rd-Line-Überwachung sind operativ; jedoch lag die
Sanktions-Screening-Falsch-Negativ-Rate Q3/2025 bei 1,2 % (Schwelle
1,0 %). Empfehlung: Schwellen-Kalibrierung und Modell-Validierung.
Bewertung: teilweise angemessen — Finding F-CMS-2026-003.
## Findings
| ID | Element | Schwere | Befund | Empfehlung |
|---|---|---|---|---|
| F-CMS-2026-002 | Programm | mittel | 3 Mitarbeitende mit wiederholt versäumten Pflichtschulungen | arbeitsrechtliche Konsequenz; Eskalations-Workflow |
| F-CMS-2026-003 | Überwachung | mittel | Sanktions-Screening-Falsch-Negativ-Rate Q3/2025 1,2 % > Schwelle | Schwellen-Kalibrierung; Modell-Validierung |
## Gesamtaussage
Das AML-CMS-Modul ist im Wesentlichen wirksam; zwei mittelschwere
Schwachstellen sind adressiert. Bestätigungs-Aussage:
'Wirksamkeit mit Einschränkungen festgestellt — Element 4 und 7 mit
Verbesserungs-Bedarf'. [VERIFY: Bestätigungsvermerk-Wortlaut gegen
IDW PS 980 Anlage]
## Unsicherheiten
- HinSchG-Fristen-Konformität pro Hinweis nicht im pseudonymisierten
Auszug enthalten.
- Sanktions-Screening-Falsch-Negativ-Rate-Trend (Q4/2025 vs. Q3/2025)
nicht enthalten.Was das Berufsrecht verlangt
Pflichten — und wie anymize sie abdeckt
IDW PS 980 — Prüfungs-Stufen
Drei Prüfungs-Stufen (Konzeption / Angemessenheit / Wirksamkeit) sind getrennt zu beurteilen. Die KI darf nicht ohne ausdrücklichen Auftrag von Angemessenheit auf Wirksamkeit schließen.
§ 130 OWiG — Aufsichtspflicht
CMS-Prüfung dient dem Aufsichtspflicht-Schutz der Geschäftsleitung; ein falscher Bestätigungsvermerk kann diesen Schutz aushebeln. Pflicht-Verifikation jeder Wirksamkeits-Aussage durch Senior Auditor.
§ 25a KWG (SRC-0106)
IKS-Letztverantwortung Geschäftsleitung. CMS ist Teil des IKS.
§ 25h KWG (SRC-0108) + GwG
Bei AML-CMS gelten spezifische Pflichten zu Verdachtsmeldungs-Prozess, MLRO-Funktion und Sanktions-Screening.
HinSchG — Hinweisgeber-Schutz
Hinweis-Eingangs-Inhalte sind besonders geschützt; Pseudonymisierung Pflicht. Re-Identifikation in externer Bericht-Version vermeiden.
§ 26 BDSG (SRC-0144)
Mitarbeiter-Schulungs-Status und wiederholte Versäumnisse sind sensible Beschäftigtendaten. Bei arbeitsrechtlichen Konsequenzen Vier-Augen mit HR.
Halluzinations-Risiko bei IDW-Zitaten
Falsche IDW-PS-Nummern oder § 130 OWiG-Bezüge sind Karriere-Risiko. Schritt 6 (Faktencheck) ist Pflicht.
Datenschutz und Vertraulichkeit
So funktioniert das mit anymize
Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 25a KWG; § 26 BDSG für Mitarbeiterdaten; HinSchG für Hinweis-Inhalte; § 43 KWG für Mandanten-Bezüge. AVV nach Art. 28 DSGVO mit Auslagerungs-Annex nach § 25b KWG ist Standard. Bei AML-spezifischen CMS-Audits zusätzlich GwG-Berücksichtigung. Verarbeitung in deutschen Rechenzentren (Hetzner).
Was anymize konkret leistet
- Pseudonymisiert Mitarbeiter-Bezüge, Hinweis-Inhalte und Sanktionierungs-Fälle konsistent.
- HinSchG-konformer Hinweisgeber-Schutz strukturell durch Anonymisierung.
- Re-Identifikation pro Berichts-Abschnitt kontrolliert.
- Verarbeitung in deutschen Rechenzentren (Hetzner); AVV im Standardvertrag.
- Originaldokumente werden nicht gespeichert.
Sicherheitscheck vor der Einreichung
Was anymize liefert — was Sie souverän entscheiden
Vor dem KI-Aufruf
- Prüfungs-Stufe (Konzeption / Angemessenheit / Wirksamkeit) klar definiert?
- Sieben-Elemente-Inputs vollständig?
- Bei Hinweis-Eingangs-Inhalten Vier-Augen-Prinzip?
- Trainings-/Sanktionierungs-Statistik mit Vorperiode-Vergleich?
Nach der KI-Antwort
- Alle sieben Elemente bewertet?
- Bewertungs-Konsistenz (angemessen / teilweise / nicht angemessen)?
- Bestätigungsvermerk-Wortlaut gegen IDW-Anlage verifiziert?
- § 130 OWiG-Bezug korrekt?
Vor der Verteilung
- Senior-Audit + Compliance-Office-Review?
- Leiter-Interne-Revision-Sign-off?
- Bei nicht angemessen: Vorstand sofort informiert?
- Externe-WP-Bereitstellung NDA-konform?
Typische Fehlermuster — und wie anymize gegensteuert
- →KI schreibt Wirksamkeit uneingeschränkt trotz teilweise angemessen bei einem Element — Konsistenz-Check Pflicht.
- →KI halluziniert IDW-PS-Nummer oder § 130 OWiG-Absatz — Pflicht-Verifikation gegen IDW-Verlautbarungs-Liste.
- →KI re-identifiziert Hinweisgeber-Inhalte in einer externen Bericht-Version — HinSchG-Verstoß.
- →KI bewertet Element 4 als angemessen, obwohl wiederholt versäumte Pflichtschulungen vorliegen.
- →KI vergisst § 25h KWG-Spezifikation bei AML-Modulen.
Rechtsgrundlagen
Normen, Urteile, Belege
Aufsichtsrechtliche Primärnormen
- Interne Revision (SRC-0115)
- IKS-Letztverantwortung (SRC-0106)
- AML-Spezifika (SRC-0108)
- Aufsichtspflicht / CMS-Klammer
- Bankgeheimnis (SRC-0109)
Prüfungsstandards
- CMS-Prüfung 7-Elemente-Logik
- Geldwäschegesetz
- Hinweisgeber-Schutz
Datenschutz
- Beschäftigtendatenschutz (SRC-0144)
- AVV (SRC-0142)
- KI-Inventar (SRC-0119)
Tool-Markt
- Audit-Plattform (SRC-0200)
- GRC-Integration
- Berichtserstellung Top-3 (SRC-0152)
Stand: · Nächste Überprüfung:
Hinweis zur Nutzung
Zur Orientierung — nicht als Mandatsersatz
Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.
KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.
Jetzt starten.
14 Tage kostenlos testen.
Alle Modelle. Alle Features. Keine Kreditkarte.
Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.
Dein KI-Arbeitsplatz wartet.