Interne Revision und Audit
IDW PS 982 IT-System-Prüfungsbericht
anymize pseudonymisiert System-/Provider-Namen unter NDA, User-Account-Identifikatoren und Vorfalls-IDs, bevor der IT-Prüfungs-Korpus an GPT, Claude oder Gemini geht. So entsteht ein IDW-PS-982-/BAIT-konformer IT-System-Prüfbericht ohne § 26 BDSG-, § 43 KWG- oder NDA-Risiken.
Schwierigkeit: Spezialist · Datenklasse: Mandantendaten · Letztes Review:
Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.
Anwendungsbereich
Worum geht es hier?
IDW PS 982 ist der etablierte deutsche Prüfungsstandard für IT-System-Audits. BAIT verschärft die Anforderungen für Banken; DORA ergänzt seit 17.01.2025 die EU-Säule. Pflicht-IT-Audits umfassen Kern-Anwendungen, RZ-Betrieb und Berechtigungs-Management — durchgängig sensible Inhalte (System-Details, User-Accounts, Vorfalls-Beschreibungen).
Für wen passt das?
Zielgruppe und Kontext
- Rolle
- IT-Auditor (Drafting), Senior IT-Auditor (Methodik), Leiter Interne Revision (Sign-off), externer IT-WP (Kooperation).
- Seniorität
- Senior — IDW PS 982, BAIT, DORA, ISO 27001, COBIT.
- Kanzleigröße
- Alle BAIT-pflichtigen Institute.
- Spezifische Kontexte
- Kern-Anwendungen (Kreditkern, Buchhaltung, Zahlungsverkehr), RZ-Betrieb, Berechtigungs-Konzept, Change-Management, Datenschutz-Implementierung.
Die Situation in der Kanzlei
So bringen Sie Tempo und Sorgfalt zusammen
Ein IDW-PS-982-Bericht umfasst 30–80 Seiten mit fester Struktur: Auftrag / Methodik / Bewertung pro IT-General-Control-Bereich (ITGC) / Findings / Bewertung. ITGC-Bereiche typisch: Governance, Identitäts-/Berechtigungs-Management, Change-Management, IT-Operations, Sicherheits-Architektur, Datenschutz. Manueller Aufwand: 25–60 h. Inhaltlich enthält der Bericht System-Details (Provider-Namen unter NDA), User-Account-Listen (Klasse A) und Vorfalls-Beschreibungen. Falscher Bestätigungsvermerk gefährdet BaFin-IT-Aufsicht.
Was Sie davon haben
Zeit, Wert, Vertraulichkeit
Zeit pro IT-System-Bericht
10–18 h
Bei 4–8 IT-Audits/Jahr ≈ 60–110 h Hebel.
ITGC-Bereiche
6
CRAFT-Prompt erzwingt vollständige Bewertung aller ITGC-Bereiche — keine Lücken.
Vertraulichkeit
strukturell
anymize pseudonymisiert NDA-Provider-Namen, User-Accounts und Vorfalls-IDs.
BAIT-/DORA-Konformität
geprüft
Systematische Verifikation gegen BAIT-Anforderungen und DORA-Bezüge.
So gehen Sie vor
In 5 Schritten zum Antrag
Prüfungs-Auftrag und IT-System-Scope definieren.
Sie
Methodik
ITGC-Bereiche pro System mappen; Test-of-Control planen.
Sie
IDW PS 982
Klasse-Entscheidung: User-Account-Listen, Vorfalls-Daten = Klasse A.
Sie
Datenschutz
anymize pseudonymisiert System-/Provider-Namen, User-Accounts und Vorfalls-IDs.
anymize
§ 26 BDSG · § 43 KWG · NDA
LLM-Draft IDW-PS-982-Bericht.
GPT / Claude / Gemini in anymize
Strukturierung
Senior-IT-Audit-Review; Faktencheck IDW-PS-982-Bewertungs-Logik und BAIT-/DORA-Bezüge.
Sie
Substanz
Leiter-Interne-Revision-Sign-off; ggf. externe-WP-Kooperation.
Sie
Governance
Womit Sie arbeiten
So setzen Sie anymize konkret ein
Was anymize tut
- Pseudonymisiert NDA-geschützte System-/Provider-Namen.
- Erkennt User-Account-Identifikatoren und Vorfalls-IDs mit > 95 % Genauigkeit.
- Bidirektionale Re-Identifikation pro ITGC-Bereich.
- Verarbeitung in deutschen Rechenzentren (Hetzner); AVV nach Art. 28 DSGVO.
Was Sie als Revision tun
- Prüfungs-Auftrag und Scope definieren; ITGC-Mapping.
- Test-of-Control durchführen (menschlich; KI strukturiert nicht).
- Faktencheck IDW-PS-982-Bewertungs-Logik und BAIT-/DORA-Bezüge.
- Senior-IT-Audit-Review; Leiter-Interne-Revision-Sign-off.
Daten-Input
IT-System-Steckbrief, ITGC-Bewertungs-Notes, Test-of-Control-Ergebnisse, User-Account-Listen, Vorfalls-Historie, BAIT-/DORA-Konformitäts-Doku.
Output-Kontrolle
Pseudonymisierter Korpus geht an die KI. Re-identifizierter IT-System-Prüfbericht mit ITGC-Bewertungen, Findings und Empfehlungen kommt zurück.
Freigabeprozess
IT-Auditor → Senior IT-Auditor → Leiter Interne Revision.
Die KI-Anweisung
Prompt zum Kopieren
So nutzen Sie diesen Prompt:
1. ITGC-Bewertungs-Notes, Test-of-Control-Ergebnisse und Vorfalls-Historie in anymize einfügen.
2. Diesen Prompt anhängen; im Thinking-Modus starten.
3. Faktencheck IDW-PS-982-Bewertungs-Logik und BAIT-/DORA-Bezüge.
4. Leiter-Interne-Revision-Sign-off.
# Context (C)
Du unterstuetzt die Erstellung eines IT-System-Pruefungsberichts
nach IDW PS 982 in einem deutschen BAIT-pflichtigen Institut.
Rechtsstand: <heutiges Datum>. Eingabe ist pseudonymisiert: System-/
Provider-Namen unter NDA, User-Account-Identifikatoren, Vorfalls-IDs
als [[Kategorie-Hash]].
# Role (R)
Du agierst als IT-System-Audit-Drafting-Assistenz. Du kennst IDW PS
982, BAIT, DORA (insbesondere Art. 5, 17, 24-27, 28-30), ISO 27001,
COBIT, MaRisk AT 7.2 (IT-Risikomanagement).
# Action (A)
1. Auftrag und IT-System-Scope.
2. Methodik 1–2 Absaetze.
3. ITGC-Bewertung pro Bereich (Governance / Identitaets- und
Berechtigungs-Management / Change-Management / IT-Operations /
Sicherheits-Architektur / Datenschutz):
- Status: angemessen / teilweise / nicht angemessen.
- Beobachtungen 2–4 Saetze.
- Findings-Bezug.
4. Findings-Tabelle | ID | ITGC | Schwere | Befund | Empfehlung |.
5. Gesamt-Bewertung mit BAIT-/DORA-Bezug.
6. "[VERIFY: ...]"-Marker.
# Format (F)
Strukturierte Abschnitte; Tabellen.
# Target Audience (T)
Senior IT-Auditor, Leiter Interne Revision, ggf. externer IT-WP.
# Verbote
KEINE Gesamt-Bewertung "angemessen", wenn ITGC-Bereich "nicht
angemessen".
KEIN BAIT-/DORA-Bezug ohne "[VERIFY: ...]"-Markierung.
KEIN NDA-Provider-Klarname.So sieht der Sachverhalt aus
Pseudonymisierter Eingabetext
IDW-PS-982-Briefing — Prüfung Kreditkern-Anwendung 2026
System: Kreditkern (Kern-Anwendung Privatkundenkredit)
Provider: [[System-Provider-a3f9]] (SaaS, EU-Datenresidenz)
Prüfungs-Zeitraum: 15.03.–15.05.2026
ITGC-Bewertungs-Notes:
- Governance: IT-Governance-Manual aktuell 11/2025; BAIT-konform
- Identitäts-/Berechtigungs-Management: 18.452 Active Accounts;
Funktions-Trennung dokumentiert; Stichprobe 50 Accounts —
3 inkonsistent ([[User-7e2a]], [[User-9f1c]], [[User-3a8b]])
- Change-Management: 247 Changes in 2025; 12 ohne dokumentierten
Rollback-Plan; Vier-Augen-Stempel überall
- IT-Operations: 99,87 % Verfügbarkeit; 2 schwerwiegende Vorfälle
(DORA Art. 17 4-h-Meldung beide erfüllt)
- Sicherheits-Architektur: ISO 27001 zertifiziert; Pentest letzter
10/2025; 4 hohe Findings adressiert
- Datenschutz: AVV vorhanden; TOM-Doku; Drittland-Transfer-TIA für
Sub-Provider in BearbeitungSo liefert anymize zurück
Der Antrags-Entwurf
## IT-System-Prüfbericht — Kreditkern-Anwendung 2026
## (Provider: [[System-Provider-a3f9]])
### Methodik
Geprüft im Zeitraum 15.03.–15.05.2026 nach IDW PS 982 mit ITGC-
Bewertung über sechs Bereiche, Stichprobe von 50 Active Accounts,
Test-of-Control für Change-Management und Berechtigungs-Konzept.
### ITGC-Bewertung
| Bereich | Status | Beobachtungen |
|---|---|---|
| Governance | **angemessen** | IT-Governance-Manual 11/2025; BAIT-konform |
| Identitäts-/Berechtigungs-Mgmt | **teilweise** | 3/50 Stichproben-Accounts inkonsistent — Funktions-Trennung-Lücke |
| Change-Management | **teilweise** | 12/247 Changes ohne dokumentierten Rollback-Plan |
| IT-Operations | **angemessen** | 99,87 % Verfügbarkeit; DORA-Art.-17-Meldungen erfüllt |
| Sicherheits-Architektur | **angemessen** | ISO 27001 zertifiziert; Pentest 10/2025 |
| Datenschutz | **teilweise** | TIA für Sub-Provider in Bearbeitung |
### Findings
| ID | ITGC | Schwere | Befund | Empfehlung |
|---|---|---|---|---|
| F-IT-2026-101 | Identitäts-/Berechtigungs-Mgmt | mittel | 3/50 Stichproben-Accounts ([[User-7e2a]], [[User-9f1c]], [[User-3a8b]]) mit inkonsistenter Funktions-Trennung | Recertification-Workflow; Frist 30.06.2026 |
| F-IT-2026-102 | Change-Management | mittel | 12/247 Changes ohne Rollback-Plan | Rollback-Plan als Pflicht-Feld in Change-Workflow; Frist 30.06.2026 |
| F-IT-2026-103 | Datenschutz | niedrig | TIA für Sub-Provider in Bearbeitung | TIA finalisieren; Frist Q3/2026 |
### Gesamt-Bewertung
Das Kreditkern-System ist im Wesentlichen BAIT- und DORA-konform mit
drei mittel/niedrig-Schwere-Findings. Bestätigungs-Aussage:
'Angemessenheit mit Einschränkungen'. [VERIFY: Bestätigungsvermerk-
Wortlaut gegen IDW PS 982 Anlage]Was das Berufsrecht verlangt
Pflichten — und wie anymize sie abdeckt
IDW PS 982
IT-System-Prüfungs-Standard mit fester ITGC-Struktur. Methodik-Abweichung ist Prüfungs-Mangel.
BAIT
BaFin-IT-Aufsichts-Anforderungen — Verschärfung gegenüber Allgemein-Industrie.
DORA (SRC-0128)
Anwendbar seit 17.01.2025; Art. 17 4-h-Meldung, Art. 28-30 Drittparteien-Bezüge.
MaRisk AT 7.2
IT-Risikomanagement; ergänzende deutsche Säule.
§ 26 BDSG (SRC-0144)
User-Account-Listen mit personenbeziehbaren Identifikatoren.
§ 43 KWG (SRC-0109)
Kunden-Bezüge in Vorfalls-Beschreibungen sind Bankgeheimnis.
NDA gegenüber Provider
System-/Provider-Namen unter NDA; Verteilung restriktiv.
Datenschutz und Vertraulichkeit
So funktioniert das mit anymize
Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 25a KWG, BAIT und DORA; für Beschäftigtendaten § 26 BDSG; für Kunden-Bezüge § 43 KWG. Bei SaaS-Provider-Prüfung Schrems-II-TIA Standard. AVV mit DORA-Auslagerungs-Annex.
Was anymize konkret leistet
- Pseudonymisiert NDA-geschützte System-/Provider-Namen und User-Accounts.
- Bidirektionale Re-Identifikation pro ITGC-Bereich.
- Verarbeitung in deutschen Rechenzentren (Hetzner); AVV im Standardvertrag.
- Konsistente Pseudonymisierung über die ITGC-Sections.
Sicherheitscheck vor der Einreichung
Was anymize liefert — was Sie souverän entscheiden
Vor dem KI-Aufruf
- Prüfungs-Auftrag und Scope dokumentiert?
- ITGC-Mapping vollständig (6 Bereiche)?
- Test-of-Control-Ergebnisse aggregiert?
- NDA-Pseudonymisierung gesichtet?
Nach der KI-Antwort
- Alle 6 ITGC-Bereiche bewertet?
- BAIT-/DORA-Bezüge gegen aktuellen Stand verifiziert?
- Bestätigungs-Aussage konsistent mit ITGC-Bewertungen?
Vor dem Versand
- Senior-IT-Audit-Review?
- Leiter-Interne-Revision-Sign-off?
- Bei NDA: Verteilung restriktiv?
Typische Fehlermuster — und wie anymize gegensteuert
- →KI gibt Gesamt-Bewertung angemessen trotz teilweise in ITGC-Bereich.
- →KI halluziniert IDW-PS-Nummer oder BAIT-Abschnitt.
- →KI vergisst DORA-Art.-17-Bezug bei IT-Operations-Vorfällen.
- →KI verzichtet auf [VERIFY: …]-Marker.
- →KI re-identifiziert NDA-Provider-Namen in externer Bericht-Version.
Rechtsgrundlagen
Normen, Urteile, Belege
IT-Prüfungs-Standards
- IT-System-Prüfungs-Berichts-Form
- BaFin-IT-Aufsichts-Anforderungen
- IT-Risikomanagement (SRC-0115)
- Informationssicherheits-Management
- IT-Governance-Framework
DORA und EU-Säule
- Art. 5, 17, 24-27, 28-30 (SRC-0128)
- Auslagerung (SRC-0107)
- KI-Inventar (SRC-0119)
Datenschutz
- Beschäftigtendatenschutz (SRC-0144)
- Bankgeheimnis (SRC-0109)
- AVV / Drittland-Transfer (SRC-0142)
Tool-Markt
- Audit-Plattform (SRC-0200)
- GRC-Integration
- GenAI Top-3 (SRC-0152)
Stand: · Nächste Überprüfung:
Hinweis zur Nutzung
Zur Orientierung — nicht als Mandatsersatz
Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.
KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.
Jetzt starten.
14 Tage kostenlos testen.
Alle Modelle. Alle Features. Keine Kreditkarte.
Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.
Dein KI-Arbeitsplatz wartet.