Interne Revision und Audit
Feststellungen-Tracking mit Follow-up-Erinnerungen
anymize pseudonymisiert Mitarbeiter-Funktions-Bezüge und Mandanten-IDs in Findings-Listen, bevor die KI-Erinnerungs-Mail-Drafts erstellt werden. So entstehen sachliche, höfliche Follow-up-Mails nach MaRisk AT 4.4 ohne § 26 BDSG-Risiko und ohne Persönlichkeits-Belastung der Verantwortlichen.
Schwierigkeit: Fortgeschritten · Datenklasse: Mandantendaten · Letztes Review:
Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.
Anwendungsbereich
Worum geht es hier?
Findings-Tracking ist Pflicht nach MaRisk AT 4.4 — die Innenrevision verantwortet die Überwachung der Maßnahmen-Umsetzung. Eine mittelgroße Bank hat zu jedem Zeitpunkt 60–200 offene Findings im Tracking. KI-gestützte Erinnerungs-Drafts und Eskalations-Vorschläge entlasten das Audit-Office und sichern die Quartals-Status-Qualität für Vorstand und Aufsichtsrat.
Für wen passt das?
Zielgruppe und Kontext
- Rolle
- Innenrevisor (Tracking-Pflege), Audit-Manager (Eskalations-Sign-off), Leiter Interne Revision (Quartals-Status), Audit-Office-Koordinator.
- Seniorität
- Junior bis Senior — Tracking-Methodik. Die Korrespondenz-Erstellung ist Standard-Arbeit; die Eskalations-Entscheidung Senior-Verantwortung.
- Kanzleigröße
- Alle MaRisk-pflichtigen Institute. In kleinen Häusern mit < 20 offenen Findings ist manuelles Tracking machbar; ab 60+ offenen Findings rechnet sich der KI-Hebel.
- Spezifische Kontexte
- Quartals-Status-Bericht, Vor-Vorstand-Lesefähigkeit, Pre-BaFin-Prüfungs-Vorbereitung, Audit-Tool-Stamm-Daten-Pflege.
Die Situation in der Kanzlei
So bringen Sie Tempo und Sorgfalt zusammen
Pro Finding gibt es Verantwortlicher (Funktion), vereinbarte Frist, Status (offen / in Bearbeitung / abgeschlossen / abgelehnt), letzte Status-Aktualisierung, dokumentierte Maßnahmen-Schritte und Beleg-Anhänge. Manueller Aufwand: 4–8 h pro Quartal nur für Status-Aggregation, plus pro Erinnerungs-E-Mail 5–10 Min. Inhaltlich enthalten Trackings Mitarbeiter-Funktions-Bezüge, Mandanten-IDs und Geschäftsfeld-Schwächen — Klasse A. KI-generierte Erinnerungs-Mails müssen sachlich und höflich sein; aggressive Tonalität wäre persönlichkeitsrechtlich relevant. anymize pseudonymisiert; der CRAFT-Prompt erzwingt höflichen, lösungs-orientierten Stil.
Was Sie davon haben
Zeit, Wert, Vertraulichkeit
Zeit pro Quartal
3–6 h
In Tracking-Aggregation; plus 30–60 % schnellere Erinnerungs-Drafts pro Finding.
Vergessene Findings
≈ 0
Automatische Frist-Erkennung und Wochen-Stand-Lauf verhindert das stille Liegenbleiben von Findings — BaFin-Risiko strukturell minimiert.
Vertraulichkeit
strukturell
anymize pseudonymisiert Mitarbeiter-Funktions-Bezüge und Mandanten-IDs; die KI sieht keine Klarnamen.
Tonalitäts-Konsistenz
100 %
CRAFT-Prompt erzwingt sachlich-höflichen Ton; keine Vorverurteilung, kein arbeitsrechtlich relevantes Eskalations-Risiko gegen Mitarbeitende.
So gehen Sie vor
In 5 Schritten zum Antrag
Audit-Tool-Findings-Datenbank pflegen (TeamMate+, AuditBoard); Stamm-Daten konsistent: Verantwortlicher (Funktion), Frist, Status, letzte Aktualisierung.
Sie
Methodik
Wöchentlicher Stand-Run: Findings mit Frist in < 14 Tagen / überschrittener Frist / kein Status-Update seit > 60 Tagen identifizieren.
Audit-Tool
Tracking
Klasse-Entscheidung: aggregierte Statistiken = Klasse C; konkrete Mitarbeiter-Funktions-/Mandanten-Bezüge = Klasse A.
Sie
Datenschutz
anymize pseudonymisiert vor LLM-Erinnerungs-Draft: Mitarbeiter-Funktionen bei kleinen Einheiten, Mandanten-IDs → `[[Kategorie-Hash]]`.
anymize
§ 26 BDSG · § 43 KWG
LLM-Draft Erinnerungs-Mail mit höflichem, sachlichem Ton; Eskalations-Vorschlag bei Verzug > 30 Tage.
GPT / Claude / Gemini in anymize
Konsistenz · Tonalität
Mensch-Review jeder Erinnerung; Re-Identifikation; Versand.
Sie
Persönlichkeits-Schutz
Eskalations-Entscheidung bei Verzug > 60 Tage: Audit-Manager / Leiter Interne Revision / Vorstand.
Sie
Governance
Quartals-Status-Bericht-Draft mit aggregierter Statistik (geschlossen / offen / überfällig / eskaliert) für Vor-Vorstand-Lesefähigkeit.
GPT/Claude/Gemini + Sie
MaRisk AT 4.4
Womit Sie arbeiten
So setzen Sie anymize konkret ein
Was anymize tut
- Pseudonymisiert Mitarbeiter-Funktions-Bezüge und Mandanten-IDs konsistent.
- Erzwingt höflich-sachlichen Ton durch CRAFT-Prompt — keine Vorverurteilung.
- Verarbeitung in deutschen Rechenzentren (Hetzner); AVV nach Art. 28 DSGVO.
- Bidirektionale Re-Identifikation pro Mail kontrolliert.
Was Sie als Revision tun
- Audit-Tool-Findings-Datenbank konsistent pflegen.
- Eskalations-Entscheidung bei Verzug > 60 Tage menschlich treffen.
- Mensch-Review jeder Erinnerungs-Mail vor Versand.
- Quartals-Status-Bericht aufbereiten und an Vorstand/AR weiterleiten.
Daten-Input
Findings-Tracking-Liste mit Verantwortlichem (Funktion), Frist, Status, letzter Aktualisierung, Maßnahmen-Schritten.
Output-Kontrolle
Pseudonymisierte Liste geht an die KI. Re-identifizierte Erinnerungs-Mails mit Anrede, Sachverhalts-Bezug, Frist-Information und Eskalations-Empfehlung kommen zurück.
Freigabeprozess
Audit-Office-Pflege → Audit-Manager Eskalations-Sign-off → Leiter Interne Revision Quartals-Bericht.
Die KI-Anweisung
Prompt zum Kopieren
So nutzen Sie diesen Prompt:
1. Wöchentliche Findings-Stand-Liste aus Audit-Tool exportieren und in anymize einfügen.
2. Diesen Prompt anhängen; im Standard-Reasoning-Modus starten.
3. Erinnerungs-Mails pro Finding prüfen; Tonalität anpassen.
4. Bei Verzug > 60 Tage: Eskalations-Entscheidung treffen, nicht automatisch versenden.
# Context (C)
Du unterstützt die Erstellung von Follow-up-Erinnerungen für offene
Audit-Findings in einem deutschen BaFin-beaufsichtigten Institut.
Rechtsstand: <heutiges Datum>. Eingabe ist eine pseudonymisierte
Liste mit offenen Findings; Verantwortlicher (Funktion), Mandanten-/
Mitarbeiter-Bezüge als [[Kategorie-Hash]]; Frist-Daten und
Beschreibung in Klartext.
# Role (R)
Du agierst als Audit-Office-Korrespondenz-Assistenz. Du kennst
MaRisk AT 4.4 (Innenrevisions-Berichtswesen) und die typische
Kommunikations-Etiquette zwischen Innenrevision und Geschäftsbereich
(sachlich, höflich, lösungs-orientiert).
# Action (A)
Pro Finding:
1. Erinnerungs-Mail-Draft mit höflichem Ton:
- Anrede an Funktion (z.B. 'Sehr geehrte Leitung [[Abteilung-…]]').
- Bezug auf Finding-ID und Kurz-Beschreibung.
- Frist-Information neutral.
- Bitte um Status-Update mit konkreter Frage.
- Höflicher Schluss.
2. Eskalations-Empfehlung (wenn anwendbar): 'Eskalation empfohlen an
Audit-Manager wegen [Grund]'.
3. Keine aggressive Sprache; keine Schuld-Zuweisung.
# Format (F)
Pro Finding ein Mail-Draft-Block.
# Target Audience (T)
Innenrevisor zur Prüfung und Versand; Empfänger sind interne
Verantwortliche.
# Verbote
KEINE Vorwurfs-Formulierung ('Sie haben versäumt …').
KEINE Eskalations-Drohung ('andernfalls wird der Vorstand
informiert').
KEINE Schuld-Zuweisung an konkrete Personen.So sieht der Sachverhalt aus
Pseudonymisierter Eingabetext
Offene Findings Wochen-Stand 2026-W19 (Auszug)
F-2025-031 (hoch): Sicherheiten-Workflow-Sperrlogik
Verantwortlich: Leitung Kreditbereich Firmenkunden + IT-Operations
Vereinbarte Frist: 30.04.2026 (überschritten 13 Tage)
Letztes Status-Update: 12.03.2026 ('in Umsetzung; Test-Phase Q2')
Aufsichts-Relevanz: ja (MaRisk BTO 1.2.5)
F-2025-047 (mittel): Vier-Augen-Doku Standardisierung
Verantwortlich: Leitung [[Abteilung-c4d1]]
Frist: 31.05.2026 (in 18 Tagen)
Letztes Status-Update: 28.04.2026 ('Spezifikation finalisiert;
Rollout Mai')
F-2025-052 (mittel): Schriftform-Klarstellung Risikolimit
Verantwortlich: Leitung Risk-Office
Frist: 31.07.2026 (in 79 Tagen)
Letztes Status-Update: keines seit Aufnahme 12.03.2026
(62 Tage stumm)
F-2024-088 (hoch): IT-Berechtigungs-Konzept Buchhaltung
Verantwortlich: Leitung IT-Berechtigungs-Office
Frist: 31.12.2025 (überschritten 133 Tage)
Letztes Status-Update: 18.10.2025
Aufsichts-Relevanz: hoch (BAIT)So liefert anymize zurück
Der Antrags-Entwurf
### Erinnerung F-2025-031 (Frist überschritten 13 Tage)
**Empfehlung Eskalation: Audit-Manager — Frist 13 Tage überschritten,
MaRisk-Bezug.**
```
Betreff: Status-Anfrage Finding F-2025-031 — Sicherheiten-Workflow-
Sperrlogik
Sehr geehrte Damen und Herren,
zu dem Audit-Finding F-2025-031 (Sicherheiten-Workflow-Sperrlogik
nach MaRisk BTO 1.2.5) liegt uns ein letzter Status vom 12.03.2026
vor; die vereinbarte Frist 30.04.2026 ist seither um 13 Tage
überschritten.
Wir bitten höflich um einen aktuellen Umsetzungs-Stand inklusive
Test-Phasen-Status und einer kurzen Einschätzung zur erwarteten
produktiven Aktivierung — bitte bis 23.05.2026.
Bei Bedarf stehen wir für eine kurze Abstimmung zur Verfügung.
Mit freundlichen Grüßen
Innenrevision
```
### Erinnerung F-2025-047 (Frist in 18 Tagen)
**Keine Eskalation, Status ist 'in Umsetzung'.**
```
Betreff: Status-Bestätigung Finding F-2025-047 — Vier-Augen-Doku
Standardisierung
Sehr geehrte Leitung [[Abteilung-c4d1]],
zu Finding F-2025-047 haben wir am 28.04.2026 erfahren, dass die
Spezifikation finalisiert und der Rollout im Mai geplant ist. Wir
bitten höflich um eine kurze Bestätigung der produktiven
Aktivierung mit Beleg bis 07.06.2026.
Mit freundlichen Grüßen
Innenrevision
```
### Erinnerung F-2025-052 (kein Status seit 62 Tagen)
**Empfehlung Eskalation: Audit-Manager — Status-Stille > 60 Tage.**
### Erinnerung F-2024-088 (überschritten 133 Tage; aufsichtsrechtlich
relevant)
**Empfehlung Eskalation: Leiter Interne Revision — BAIT-Bezug.**Was das Berufsrecht verlangt
Pflichten — und wie anymize sie abdeckt
MaRisk AT 4.4 (SRC-0115)
Innenrevisions-Berichtswesen pflicht; Quartals-Status-Bericht ist Standard-Element. Vergessene Findings sind BaFin-Risiko.
§ 26 BDSG (SRC-0144)
Mitarbeiter-Funktions-Bezüge in Tracking-Listen sind Beschäftigtendaten. Pseudonymisierung bei kleinen Einheiten Pflicht.
Persönlichkeits-Schutz
KI-Erinnerungs-Mails dürfen nicht aggressiv oder vorverurteilend sein; arbeitsrechtlich/persönlichkeitsrechtlich relevant. Der CRAFT-Prompt erzwingt höflich-sachlichen Ton.
Art. 22 DSGVO
Wenn KI-Eskalations-Vorschlag direkt zu arbeitsrechtlichen Konsequenzen führte, läge automatisierte Einzelentscheidung vor. Schritt 6 (Mensch-Review) trennt das ab.
§ 43 KWG (SRC-0109)
Mandanten-IDs in Findings (z.B. Akten-Bezug) sind Bankgeheimnis. Pseudonymisierung Pflicht vor externer LLM-Verarbeitung.
HinSchG bei Hinweisgeber-Bezug
Findings aus Whistleblower-Hinweisen unterliegen besonderem Schutz; manuelle Korrespondenz statt KI-Draft.
Datenschutz und Vertraulichkeit
So funktioniert das mit anymize
Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 25a KWG und MaRisk AT 4.4; für Mitarbeiterdaten § 26 BDSG. Der Schutz-Hebel ist die Pseudonymisierung bei kleinen Einheiten und die menschliche Verifikation jeder Erinnerung vor Versand. AVV nach Art. 28 DSGVO ist Standard. Verarbeitung in deutschen Rechenzentren (Hetzner).
Was anymize konkret leistet
- Pseudonymisiert Mitarbeiter-Funktions-Bezüge bei kleinen Einheiten und Mandanten-IDs.
- Erzwingt höflich-sachlichen Ton durch CRAFT-Prompt — keine Vorverurteilung.
- Re-Identifikation pro Mail kontrolliert; Versand bleibt Mensch-Entscheidung.
- Verarbeitung in deutschen Rechenzentren (Hetzner); AVV nach Art. 28 DSGVO.
Sicherheitscheck vor der Einreichung
Was anymize liefert — was Sie souverän entscheiden
Stamm-Daten-Pflege
- Verantwortlicher als Funktion (nicht Person) eingetragen?
- Frist und Status konsistent gepflegt?
- Maßnahmen-Schritte und Belege dokumentiert?
Vor dem Versand
- Erinnerungs-Mail Mensch-reviewt?
- Tonalität sachlich-höflich?
- Bei Verzug > 60 Tage: Eskalations-Entscheidung getroffen?
- Bei Hinweisgeber-Bezug: manuelle Korrespondenz statt KI-Draft?
Quartals-Status
- Aggregierte Statistik (geschlossen/offen/überfällig/eskaliert)?
- Vor-Vorstand-Lesefähigkeit?
- AR-Prüfungsausschuss-Vorlage erstellt?
Typische Fehlermuster — und wie anymize gegensteuert
- →KI formuliert Sie haben versäumt … trotz Prompt-Verbot — vor Versand prüfen.
- →KI eskaliert vorschnell (Vorstands-Information empfohlen) bei mittlerem Verzug — Eskalations-Entscheidung Mensch.
- →KI verwendet bei Hinweisgeber-Bezug die Standard-Anrede — manuelle Bearbeitung Pflicht.
- →KI verwechselt Status-Update-Datum mit Frist-Datum — Stamm-Daten-Konsistenz prüfen.
- →KI generiert Erinnerung für bereits geschlossene Findings — Status-Filter prüfen.
Rechtsgrundlagen
Normen, Urteile, Belege
Aufsichtsrechtliche Primärnormen
- Innenrevisions-Berichtswesen (SRC-0115)
- IKS-Letztverantwortung (SRC-0106)
- Bankgeheimnis (SRC-0109)
Datenschutz
- Beschäftigtendatenschutz (SRC-0144)
- Automatisierte Einzelentscheidung
- AVV (SRC-0142)
- Hinweisgeber-Schutz
Tool-Markt
- Tracking-Plattform (SRC-0200)
- Audit-Workflow
- Workflow-Automatisierung (SRC-0156)
Aufsichts-Praxis
- KI-Inventar (SRC-0119)
Stand: · Nächste Überprüfung:
Hinweis zur Nutzung
Zur Orientierung — nicht als Mandatsersatz
Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.
KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.
Jetzt starten.
14 Tage kostenlos testen.
Alle Modelle. Alle Features. Keine Kreditkarte.
Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.
Dein KI-Arbeitsplatz wartet.