Interne Revision und Audit

Externe WP-Cooperation-Memo (Prüfungsanfragen)

anymize pseudonymisiert Mandanten-IDs, Mitarbeiter-Funktions-Bezüge und Beleg-Anhang-Hashes, bevor das Antwort-Memo an den externen WP über GPT, Claude oder Gemini in IDW-PS-200-Tonalität entworfen wird. So entstehen WP-konforme Antwort-Memos in Stunden statt Tagen — JA-Phase-Engpass strukturell entschärft.

In 30 SekundenWas anymize hier leistetIn 5 MinutenPrompt zum KopierenIn 30 MinutenVollständiger Workflow
Mit anymize startenAntrags-Beispiel ansehen

Schwierigkeit: Fortgeschritten · Datenklasse: Mandantendaten · Letztes Review:

Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.

01

Anwendungsbereich

Worum geht es hier?

KI in der Internen Revision und Compliance-Auditierung

Externe Wirtschaftsprüfer-Kooperation gehört zu den standard-zyklischen Innenrevisions-Aufgaben. Während der JA-Phase erhält die Innenrevision regelmäßig Prüfungsanfragen — Anforderung von Belegen, Stichproben, Erläuterungen. KI-gestützte Antwort-Memos beschleunigen das Drafting bei gleichbleibender IDW-PS-200-Konformität und entschärfen das saisonale 6–8-Wochen-Engpass-Problem.

02

Für wen passt das?

Zielgruppe und Kontext

Rolle
Senior Auditor WP-Kooperation, Audit-Manager, Leiter Interne Revision, CFO-Office als Schnittstelle.
Seniorität
Senior — IDW PS 200/270/450, HGB, WPO. Verhandlungs-Erfahrung mit WP-Team-Leiter.
Kanzleigröße
Alle JA-Prüfungs-pflichtigen Institute. Besonders wertvoll in Häusern mit großem Anfrage-Volumen (30–80 Anfragen pro JA-Phase).
Spezifische Kontexte
JA-Phase (typisch Januar–April), Quartals-Reviews, Spezial-Prüfungs-Anfragen (Sicherheiten-Bewertung, Konzern-Bezug, IFRS-Übergang).
03

Die Situation in der Kanzlei

So bringen Sie Tempo und Sorgfalt zusammen

Während der JA-Phase erhält die Innenrevision 30–80 Prüfungsanfragen vom externen WP: Stichproben-Listen, methodische Erläuterungen, IKS-Beobachtungs-Bestätigungen, Bilanzierungs-Stellungnahmen, Beleg-Übermittlung. Manueller Aufwand: 1–3 h pro Antwort-Memo. Inhaltlich enthalten Antworten Mandanten-Bezüge, Mitarbeiter-Funktions-Bezüge und bilanzielle Details — Klasse A. Fehlerhafte Antwort erzeugt WP-Folge-Findings; der KI-Draft muss konservativ formuliert sein und [VERIFY: …]-Marker für alle quantitativen Aussagen tragen.

04

Was Sie davon haben

Zeit, Wert, Vertraulichkeit

Zeit pro WP-Memo-Bündel

5–10 h

Pro Bündel (10–20 Anfragen). Bei JA-Phase 6–8 Wochen × 20 h = 120 h Engpass-Reduktion p.a.

Tonalitäts-Konsistenz

IDW PS 200

CRAFT-Prompt erzwingt höflich-sachlich-präzise IDW-PS-Sprache; keine defensive Tonalität, keine vorschnellen Zugeständnisse.

Vertraulichkeit

strukturell

anymize pseudonymisiert Mandanten-IDs, Mitarbeiter-Funktionen und Beleg-IDs. § 26 BDSG, § 43 KWG strukturell adressiert.

Belege referenziert

100 %

Pro Antwort eindeutige Beleg-ID-Referenz und Anhangs-Verzeichnis — der WP findet, was er sucht.

05

So gehen Sie vor

In 5 Schritten zum Antrag

1

WP-Prüfungsanfrage erhalten; Sach-Inhalt klassifizieren (Stichproben-Anfrage / methodische Erläuterung / Bilanzierungs-Frage / IKS-Beobachtung).

Sie

Methodik

2

Antwort-Inhalte zusammentragen aus internen Quellen (Audit-Tool, Risk-Office, Bilanzierung, IT-Operations).

Sie + Tools

Substanz

3

Klasse-Entscheidung: alle Antwort-Inhalte mit Mandanten-/Mitarbeiter-Bezug = Klasse A.

Sie

§ 43 KWG · § 26 BDSG

4

anymize pseudonymisiert Mandanten-IDs, Mitarbeiter-Funktions-Bezüge und Beleg-Anhang-Hashes mit `[[Kategorie-Hash]]`.

anymize

§ 26 BDSG · § 43 KWG

5

LLM-Draft Memo: höflich, sachlich, IDW-PS-200-konforme Sprache, klare Antwort, [VERIFY: …]-Marker für jede quantitative Aussage.

GPT / Claude / Gemini in anymize

Strukturierung · WP-Tonalität

6

Faktencheck (HGB-/IDW-Referenzen, Anhang-Vollständigkeit); Senior-Audit-Review; Re-Identifikation.

Sie

Aufsichts-Substanz

7

Versand an WP über kanzlei-üblichen sicheren Kanal; Aufnahme in WP-Korrespondenz-Akte.

Sie

Governance

06

Womit Sie arbeiten

So setzen Sie anymize konkret ein

Was anymize tut

  • Pseudonymisiert Mandanten-IDs, Mitarbeiter-Funktions-Bezüge und Beleg-Anhang-Hashes konsistent.
  • Erzwingt IDW-PS-200-konforme Tonalität durch CRAFT-Prompt.
  • Bidirektionale Re-Identifikation pro Antwort kontrolliert.
  • Verarbeitung in deutschen Rechenzentren (Hetzner); AVV nach Art. 28 DSGVO.

Was Sie als Revision tun

  • Anfrage-Klassifikation und Antwort-Inhalts-Sammlung aus internen Quellen.
  • Faktencheck der HGB-/IDW-Referenzen und Beleg-Vollständigkeit.
  • Senior-Audit-Review vor Versand an WP.
  • Aufnahme in WP-Korrespondenz-Akte; Dokumentation für nachfolgende JA-Phasen.

Daten-Input

WP-Prüfungsanfragen, interne Audit-Tool-Auszüge, Risk-Office-Reports, Bilanzierungs-Methodik-Manual, Beleg-Anhang-Liste, Vorperiode-WP-Korrespondenz.

Output-Kontrolle

Pseudonymisiertes Antwort-Memo-Skelett geht an die KI. Re-identifizierte Antwort-Memos mit Sach-Aussagen, Beleg-Referenzen, [VERIFY: …]-Markern und höflichem Schluss-Satz kommen zurück.

Freigabeprozess

Drafter → Senior → Audit-Manager → Leiter Interne Revision (bei substantiellen Antworten).

07

Die KI-Anweisung

Prompt zum Kopieren

So nutzen Sie diesen Prompt:

1. WP-Prüfungsanfrage und interne Antwort-Inhalte in anymize einfügen.

2. Diesen Prompt anhängen; im Thinking-Modus starten.

3. Faktencheck der HGB-/IDW-Referenzen; Anhang-Liste vollständig?

4. Senior-Audit-Review vor Versand.

Reasoning-Modus: Thinking-Modus. Bei kontroversen Bilanzierungs-Fragen manuelles Drafting bevorzugen.
# Context (C)
Du unterstützt das Drafting eines Antwort-Memos an den externen
Wirtschaftsprüfer im Rahmen der JA-Prüfung in einem deutschen
BaFin-beaufsichtigten Institut. Rechtsstand: <heutiges Datum>.
Eingabe ist pseudonymisiert: Mandanten-IDs, Mitarbeiter-Funktions-
Bezüge, Beleg-IDs als [[Kategorie-Hash]].

# Role (R)
Du agierst als WP-Korrespondenz-Assistenz. Du kennst IDW PS 200,
IDW PS 270, IDW PS 450, HGB, WPO. Tonalität: höflich, sachlich,
präzise, lösungs-orientiert.

# Action (A)
Pro Anfrage:
1. Wiedergabe Anfrage-Inhalt neutral.
2. Antwort in 3–8 Sätzen mit klarer Sach-Aussage.
3. Bezug auf Belege (Beleg-ID-Platzhalter).
4. Bei methodischen Abweichungen Begründung in 2–3 Sätzen.
5. '[VERIFY: …]'-Marker für alle quantitativen Aussagen.
6. Höflicher Schluss-Satz; Bereitschaft zur weiteren Klärung.

# Format (F)
Pro Anfrage ein Memo-Block; abschließend Anhangs-Verzeichnis.

# Target Audience (T)
Externer WP-Team-Leiter; sachlich-präzise, IDW-PS-200-konform.

# Verbote
KEIN defensiver Ton; keine vorschnellen Zugeständnisse.
KEINE quantitative Aussage ohne '[VERIFY: …]'-Marker.
KEINE Beleg-Referenz ohne Anhangs-Verzeichnis-Eintrag.
08

So sieht der Sachverhalt aus

Pseudonymisierter Eingabetext

WP-Anfragen-Bündel nach anymize-Anonymisierung. Mandanten- und Mitarbeiter-Bezüge sind pseudonymisiert; Anfrage-Wortlaute bleiben sichtbar.
WP-Prüfungsanfrage 2026-03-21 (JA-Prüfung 2025)

Anfrage 21.03.2026-01: Stichproben-Liste Sicherheiten-Aktualität
 Der WP bittet um die vollständige Liste der in Q4/2025 genehmigten
 Firmenkundenkredite >2 Mio. EUR mit Datum der zugrundeliegenden
 Sicherheiten-Bewertung.

Anfrage 21.03.2026-02: Erläuterung EWB-Methodik-Update
 Der WP bittet um eine Erläuterung des im 11/2025 implementierten
 EWB-Methodik-Updates für Forbearance-Maßnahmen; Bezug auf welches
 IFRS-/HGB-Konzept?

Anfrage 21.03.2026-03: IT-Berechtigungs-Audit-Status
 Der WP fragt nach dem aktuellen Stand des Findings F-2024-088
 (IT-Berechtigungs-Konzept Buchhaltung).
09

So liefert anymize zurück

Der Antrags-Entwurf

KI-Output (Beispiel) nach Re-Identifikation. Tonalität bleibt sachlich; quantitative Aussagen tragen [VERIFY: …]-Marker.
## Antwort-Memo zur Prüfungsanfrage 2026-03-21

### Anfrage 21.03.2026-01 — Stichproben-Liste Sicherheiten-Aktualität
Wir übermitteln die Liste der in Q4/2025 genehmigten
Firmenkundenkredite > 2 Mio. EUR mit Datum der zugrundeliegenden
Sicherheiten-Bewertung als Anhang 01. Insgesamt sind 38 Vorgänge
enthalten. Bei sieben Vorgängen ([[Mandant-a3f9]] bis
[[Mandant-219e]]) liegt das Bewertungs-Datum > 12 Monate vor
Genehmigung; dies ist im Audit-Bericht 'Sicherheiten-Management
Firmenkundenkredit 2026' als Finding F-2026-051 dokumentiert.
[VERIFY: vollständige Anhang-Liste mit IT-Operations]

### Anfrage 21.03.2026-02 — EWB-Methodik-Update
Das EWB-Methodik-Update zum 01.11.2025 betrifft die Bemessung von
Wertberichtigungen bei Forbearance-Maßnahmen. Bezugs-Konzept ist
IFRS 9 für den Konzern-Bilanzansatz und § 252 Abs. 1 Nr. 4 HGB für
den Einzelabschluss; bei Forbearance-Maßnahmen mit anschließender
Sanierung ist die Stage-3-Klassifikation in der Regel beizubehalten
(vgl. EBA Guidelines on management of non-performing exposures).
Die Methodik-Doku wurde im Risk-Office-Manual Kapitel 4.7
aktualisiert; wir senden den Auszug als Anhang 02.
[VERIFY: Methodik-Doku Zitat-Stelle]

### Anfrage 21.03.2026-03 — IT-Berechtigungs-Audit-Status
Zu Finding F-2024-088 (IT-Berechtigungs-Konzept Buchhaltung,
BAIT-Bezug) liegt folgender Stand vor: Konzept-Entwurf wurde am
18.10.2025 vorgelegt; Stakeholder-Review hat sich verzögert; die
vereinbarte Frist 31.12.2025 wurde um 133 Tage überschritten. Das
Finding ist seit 13.05.2026 an die Leitung Interne Revision und
über die Q2/2026-Vorstands-Vorlage eskaliert. Wir erwarten eine
produktive Aktivierung bis Q3/2026.

## Anhangs-Verzeichnis
- Anhang 01: Stichproben-Liste Sicherheiten-Aktualität Q4/2025
- Anhang 02: Risk-Office-Manual Kapitel 4.7 EWB-Forbearance
- Anhang 03: Eskalations-Verlauf Finding F-2024-088
10

Was das Berufsrecht verlangt

Pflichten — und wie anymize sie abdeckt

IDW PS 200 — Methodik-Konformität

WP erkennt halluzinierte IDW-PS-Nummern sofort. Pflicht-Verifikation gegen IDW-Verlautbarungs-Liste; der CRAFT-Prompt erzwingt [VERIFY: …]-Marker.

WPO — Berufsrecht WP

Der WP ist nach § 43 WPO zur Verschwiegenheit verpflichtet; Antwort-Memos enthalten dennoch sensible Daten. Verschwiegenheits-Schutz durch Pseudonymisierung verstärkt.

§ 43 KWG (SRC-0109)

Mandanten-Bezüge in Antwort-Memos sind Bankgeheimnis. Pseudonymisierung Pflicht vor LLM-Draft.

§ 26 BDSG (SRC-0144)

Mitarbeiter-Funktions-Bezüge in IKS-Status-Antworten sind sensible Beschäftigtendaten.

Defensive Tonalität

Defensive Sprache erzeugt WP-Folge-Findings. CRAFT-Prompt erzwingt sachlich-präzise Tonalität; keine vorschnellen Zugeständnisse, keine Verteidigungs-Position.

BaFin Orientierungshilfe IKT/KI (SRC-0119)

KI-Draft-Tool im KI-Inventar; bei wesentlichen Material Changes Re-Validierung.

11

Datenschutz und Vertraulichkeit

So funktioniert das mit anymize

Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 25a KWG und HGB (gesetzliche JA-Prüfungs-Kooperation); für Mitarbeiterdaten § 26 BDSG; für Mandanten-Bezüge § 43 KWG. AVV nach Art. 28 DSGVO mit Auslagerungs-Annex nach § 25b KWG ist Standard. Verarbeitung in deutschen Rechenzentren (Hetzner).

Was anymize konkret leistet

  • Pseudonymisiert Mandanten-IDs, Mitarbeiter-Funktions-Bezüge und Beleg-Anhang-Hashes.
  • Erzwingt IDW-PS-200-konforme Tonalität durch CRAFT-Prompt.
  • Re-Identifikation pro Antwort kontrolliert.
  • Verarbeitung in deutschen Rechenzentren (Hetzner); AVV nach Art. 28 DSGVO.
12

Sicherheitscheck vor der Einreichung

Was anymize liefert — was Sie souverän entscheiden

Vor dem KI-Aufruf

  • Anfrage-Klassifikation eindeutig?
  • Antwort-Inhalte aus internen Quellen aggregiert?
  • Belege referenzierbar (Anhang-IDs)?

Nach der KI-Antwort

  • HGB-/IDW-Referenzen gegen Verlautbarungs-Liste verifiziert?
  • [VERIFY: …]-Marker bei allen quantitativen Aussagen?
  • Anhangs-Verzeichnis vollständig?
  • Tonalität sachlich-konstruktiv (nicht defensiv)?

Vor dem Versand

  • Senior-Audit-Review durchgeführt?
  • Sicherer Kanal an WP genutzt?
  • Korrespondenz-Akte aktualisiert?

Typische Fehlermuster — und wie anymize gegensteuert

  • KI formuliert defensiv (leider können wir nicht …) — vor Versand prüfen.
  • KI vergisst [VERIFY: …]-Marker bei Zahlen — quantitative Aussagen werden ungeprüft an WP versendet.
  • KI halluziniert IFRS-Standard-Nummer — Pflicht-Verifikation.
  • KI vergisst Anhangs-Verzeichnis — WP-Folge-Anfrage entsteht.
  • KI macht vorschnelle Zugeständnisse zu offenen Findings — Verhandlungs-Position verschlechtert.
13

Rechtsgrundlagen

Normen, Urteile, Belege

Aufsichtsrechtliche Primärnormen

  • Innenrevisions-Berichtswesen (SRC-0115)
  • IKS-Letztverantwortung (SRC-0106)
  • Bankgeheimnis (SRC-0109)

Prüfungsstandards und WP-Recht

  • Grundsätze ordnungsmäßiger Abschlussprüfung
  • Going-Concern-Beurteilung
  • Berichts-Form
  • Wirtschaftsprüferordnung — § 43 WP-Verschwiegenheit
  • Bilanzrecht

Datenschutz

  • Beschäftigtendatenschutz (SRC-0144)
  • AVV (SRC-0142)
  • KI-Inventar (SRC-0119)

Tool-Markt

  • Audit-Plattform (SRC-0200)
  • GenAI Top-3 (SRC-0152)

Stand: · Nächste Überprüfung:

Hinweis zur Nutzung

Zur Orientierung — nicht als Mandatsersatz

Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.

KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.

Jetzt starten.
14 Tage kostenlos testen.

Alle Modelle. Alle Features. Keine Kreditkarte.

Kostenlos startenWie es funktioniert

Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.

Dein KI-Arbeitsplatz wartet.