Interne Revision und Audit

MaRisk AT 4.4 Interne-Revision-Konformitätsprüfung

anymize pseudonymisiert Personal-Bezüge, bevor die Selbst-Bewertung der eigenen Innenrevisions-Funktion an GPT, Claude oder Gemini geht. So entsteht eine MaRisk-AT-4.4-Self-Assessment-Vorlage über 30–60 Anforderungs-Punkte — Vorbereitung der 3-jährigen externen WP-Funktionsprüfung, ohne § 26 BDSG-Risiken.

In 30 SekundenWas anymize hier leistetIn 5 MinutenPrompt zum KopierenIn 30 MinutenVollständiger Workflow
Mit anymize startenAntrags-Beispiel ansehen

Schwierigkeit: Spezialist · Datenklasse: Mandantendaten · Letztes Review:

Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.

01

Anwendungsbereich

Worum geht es hier?

KI in der Internen Revision und Compliance-Auditierung

Die Innenrevisions-Funktion selbst unterliegt MaRisk-AT-4.4-Anforderungen — Unabhängigkeit, sachliche Ausstattung, methodische Standards. Externe WP-Funktionsprüfung erfolgt typisch alle 3 Jahre. Eine jährliche Selbst-Bewertung identifiziert Lücken vor externer Prüfung und reduziert das Risiko aufsichtsrechtlicher Findings.

02

Für wen passt das?

Zielgruppe und Kontext

Rolle
Leiter Interne Revision (Letztverantwortlich), Audit-Manager Methodik, externer WP-IR-Funktionsprüfer.
Seniorität
Senior — MaRisk AT 4.4, IIA Standards (International Standards for the Professional Practice of Internal Auditing), § 25a KWG.
Kanzleigröße
Alle MaRisk-pflichtigen Institute.
Spezifische Kontexte
Jährliche Selbst-Bewertung; 3-jährige externe Funktionsprüfung; BaFin-Prüfungs-Vorbereitung.
03

Die Situation in der Kanzlei

So bringen Sie Tempo und Sorgfalt zusammen

MaRisk AT 4.4 enthält detaillierte Anforderungen an die Innenrevisions-Funktion: Unabhängigkeit der Funktion, sachliche und personelle Ausstattung, methodische Standards (IIA-konform), Berichts-Wesen an Geschäftsleitung und AR, Prüfungsplanung, Dokumentation, Personalentwicklung. Selbst-Bewertung umfasst 30–60 Anforderungs-Punkte. Manueller Aufwand: 15–30 h. Inhaltlich enthält die Bewertung Personal- und methodische Selbst-Reflexion — Klasse A (Personal-Bezug). Externe Funktionsprüfungs-Findings haben BaFin-Aufsichts-Relevanz.

04

Was Sie davon haben

Zeit, Wert, Vertraulichkeit

Zeit pro Konformitäts-Check

6–12 h

Pro jährlicher Selbst-Bewertung; Hauptwert ist Lücken-Identifikation vor externer Prüfung.

Anforderungs-Coverage

100 %

Alle 30–60 MaRisk-AT-4.4-Anforderungs-Punkte werden systematisch geprüft.

Vertraulichkeit

strukturell

anymize pseudonymisiert Personal-Bezüge in der Selbst-Reflexion.

Externe Funktionsprüfung

vorbereitet

Lücken-Identifikation vor 3-jähriger WP-Prüfung — strukturell entlastet.

05

So gehen Sie vor

In 5 Schritten zum Antrag

1

MaRisk-AT-4.4-Anforderungs-Katalog als Input vorbereiten.

Sie

Standard

2

Beleg-Sammlung pro Anforderungs-Punkt: Audit-Charter, Berichts-Beispiele, Personal-Doku, Methodik-Manual.

Sie

Substanz

3

Klasse-Entscheidung: Personalstands-Themen = Klasse A.

Sie

Datenschutz

4

anymize pseudonymisiert Personal-Bezüge mit `[[Kategorie-Hash]]`.

anymize

§ 26 BDSG

5

LLM-Status-Bewertung pro Anforderungs-Punkt: angemessen / teilweise / nicht angemessen mit Begründung.

GPT / Claude / Gemini in anymize

Strukturierung

6

Leiter-Interne-Revision-Review pro Punkt; konservative Korrektur bei Unsicherheit.

Sie

Verantwortung

7

Bei Lücken: Maßnahmenplan; ggf. Personal- oder Methodik-Update.

Sie

Governance

06

Womit Sie arbeiten

So setzen Sie anymize konkret ein

Was anymize tut

  • Pseudonymisiert Personal-Bezüge in der Selbst-Reflexion.
  • Bidirektionale Re-Identifikation pro Anforderungs-Punkt.
  • Verarbeitung in deutschen Rechenzentren (Hetzner); AVV nach Art. 28 DSGVO.
  • Konsistente Pseudonymisierung über die jährliche Selbst-Bewertung.

Was Sie als Revision tun

  • MaRisk-AT-4.4-Anforderungs-Katalog mit aktuellen IIA-Standards pflegen.
  • Beleg-Sammlung pro Anforderungs-Punkt; Selbst-Reflexion formulieren.
  • Konservative Korrektur bei Unsicherheit (lieber teilweise als angemessen).
  • Bei Lücken: Maßnahmenplan; ggf. Personal- oder Methodik-Update.

Daten-Input

MaRisk-AT-4.4-Anforderungs-Katalog, Audit-Charter, IIA-Standards-Bezug, Berichts-Beispiele, Personal-Doku, Methodik-Manual, Vorperiode-Selbst-Bewertung.

Output-Kontrolle

Pseudonymisierter Korpus geht an die KI. Re-identifizierte Bewertungs-Tabelle mit Anforderungs-Punkt, Status, Begründung und Maßnahmen-Vorschlag kommt zurück.

Freigabeprozess

Audit-Manager → Leiter Interne Revision → ggf. Vorstand.

07

Die KI-Anweisung

Prompt zum Kopieren

So nutzen Sie diesen Prompt:

1. MaRisk-AT-4.4-Anforderungs-Katalog mit Beleg-Sammlung in anymize einfügen.

2. Diesen Prompt anhängen; im Thinking-Modus starten.

3. Konservative Korrektur bei Unsicherheit; Leiter-Interne-Revision-Review.

4. Bei Lücken: Maßnahmenplan vor externer WP-Funktionsprüfung umsetzen.

Reasoning-Modus: Thinking-Modus.
# Context (C)
Du unterstuetzt eine MaRisk-AT-4.4-Konformitaets-Selbstbewertung der
Innenrevisions-Funktion in einem deutschen BaFin-beaufsichtigten
Institut. Rechtsstand: <heutiges Datum>. Eingabe enthaelt
pseudonymisierte Personal-Bezuege und Klartext-Beleg-Daten.

# Role (R)
Du agierst als IR-Selbst-Bewertungs-Assistenz. Du kennst MaRisk
AT 4.4 (Unabhaengigkeit, Berichts-Wesen, Personal-Ausstattung,
methodische Standards), IIA Standards, § 25a KWG.

# Action (A)
Pro Anforderungs-Punkt:
1. Wortlaut wiedergeben.
2. Status: angemessen / teilweise / nicht angemessen.
3. Begruendung 2–3 Saetze mit Beleg-Bezug.
4. "[VERIFY: ...]"-Marker.
5. Bei "nicht angemessen": Massnahmen-Vorschlag.
6. Konservativ bei Unsicherheit.

# Format (F)
Tabelle: | Punkt | Status | Begruendung | VERIFY | Massnahme |

# Target Audience (T)
Leiter Interne Revision; externe WP-Funktionspruefung als
Endadressat.

# Verbote
KEINE "angemessen"-Bewertung ohne Beleg-Bezug.
KEINE Personalstands-Bewertung mit konkretem Namen.
08

So sieht der Sachverhalt aus

Pseudonymisierter Eingabetext

MaRisk-AT-4.4-Selbstbewertungs-Korpus nach anymize-Anonymisierung.
MaRisk-AT-4.4-Selbstbewertung 2026 (Auszug)

Punkt 4.4.1 Unabhängigkeit:
 Beleg: Audit-Charter v3.2, Berichts-Wege an Vorstand und AR; keine
 operative Funktion in 2025

Punkt 4.4.2 Berichts-Wesen:
 4 Quartalsberichte + 1 AR-Jahresbericht 2025 dokumentiert;
 Eskalations-Berichte: 2 in 2025

Punkt 4.4.3 Personal-Ausstattung:
 8 FTE Ist (Soll 9 FTE); 1 offene Position seit 11/2025;
 Schulungs-Budget 2025: 45 TEUR (12 Tage pro FTE)

Punkt 4.4.4 Methodische Standards:
 IIA-Standards 1010, 1110, 1130, 2200, 2300, 2400 konform; letzte
 Methodik-Manual-Aktualisierung 10/2025

Punkt 4.4.5 Prüfungsplanung:
 Risiko-orientiert; Heatmap jährlich; Quartals-Updates 2025
 implementiert

Punkt 4.4.6 KI-Inventar:
 KI-Audit-Tools im Inventar nach BaFin-Orientierungshilfe Dez 2025;
 Erst-Aufnahme 03/2026 — verzögert nach Stichtag 31.01.2026
09

So liefert anymize zurück

Der Antrags-Entwurf

KI-Output (Beispiel). Konservative Bewertung; konkrete Maßnahmen-Vorschläge bei Lücken.
| Punkt | Status | Begründung | VERIFY | Maßnahme |
|---|---|---|---|---|
| 4.4.1 Unabhängigkeit | **angemessen** | Audit-Charter v3.2; klare Berichts-Wege; keine operative Funktion 2025 | [VERIFY: Charter gegen IIA-Standard 1110] | — |
| 4.4.2 Berichts-Wesen | **angemessen** | 4 Quartalsberichte + 1 AR-Jahresbericht; 2 Eskalations-Berichte | — | — |
| 4.4.3 Personal-Ausstattung | **teilweise** | 8/9 FTE; offene Position > 6 Monate | [VERIFY: Vakanz-Dauer gegen interne Norm] | Vakanz-Besetzung beschleunigen; Verantw. HR + Leiter IR; Frist 30.06.2026; Priorität hoch |
| 4.4.4 Methodische Standards | **angemessen** | IIA-Standards konform; Manual 10/2025 aktuell | [VERIFY: IIA-Standards-Versions-Stand 2026] | — |
| 4.4.5 Prüfungsplanung | **angemessen** | Risiko-orientiert; Quartals-Updates | — | — |
| 4.4.6 KI-Inventar | **teilweise** | Erst-Aufnahme 03/2026 (Stichtag 31.01.2026 verspätet) | [VERIFY: BaFin-Folge-Anfrage zur Verzögerung] | Vollständigkeits-Check + Nachmeldung an BaFin; Verantw. Leiter IR + KI-Beauftragter; Frist 30.06.2026; Priorität hoch |
10

Was das Berufsrecht verlangt

Pflichten — und wie anymize sie abdeckt

MaRisk AT 4.4 (SRC-0115)

Detaillierte Anforderungen an Innenrevisions-Funktion. Selbst-Bewertung muss verteidigungsfähig sein.

IIA Standards

International Standards for the Professional Practice of Internal Auditing — Methodik-Bezug. Veraltete Standards-Versionen sind Schwäche.

§ 25a KWG (SRC-0106)

IKS-Letztverantwortung Geschäftsleitung; Innenrevision ist 3. Verteidigungslinie.

Externe WP-Funktionsprüfung

3-Jahres-Zyklus; Findings haben BaFin-Aufsichts-Relevanz.

§ 26 BDSG (SRC-0144)

Personalstands-Bewertungen sind sensible Beschäftigtendaten.

Selbst-Bewertungs-Bias

Konservative Bewertung pflicht — lieber 'teilweise' als 'angemessen', wenn Lücken absehbar sind.

BaFin Orientierungshilfe IKT/KI (SRC-0119)

KI-Inventar ist eigener Anforderungs-Punkt; Stichtag-Konformität prüfen.

11

Datenschutz und Vertraulichkeit

So funktioniert das mit anymize

Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 25a KWG und MaRisk AT 4.4; für Personaldaten § 26 BDSG. AVV nach Art. 28 DSGVO Standard. Verarbeitung in deutschen Rechenzentren (Hetzner).

Was anymize konkret leistet

  • Pseudonymisiert Personal-Bezüge in der Selbst-Reflexion.
  • Bidirektionale Re-Identifikation pro Anforderungs-Punkt.
  • Verarbeitung in deutschen Rechenzentren (Hetzner); AVV im Standardvertrag.
  • Konsistente Pseudonymisierung über die jährliche Bewertung.
12

Sicherheitscheck vor der Einreichung

Was anymize liefert — was Sie souverän entscheiden

Anforderungs-Katalog

  • Alle 30–60 MaRisk-AT-4.4-Punkte erfasst?
  • IIA-Standards-Versions-Stand aktuell?
  • KI-Inventar-Punkt nach BaFin-Orientierungshilfe aufgenommen?

Beleg-Sammlung

  • Audit-Charter aktuell?
  • Berichts-Beispiele aus dem laufenden Jahr?
  • Personal-Doku (FTE, Vakanzen, Schulungs-Budget)?

Vor externer Funktionsprüfung

  • Konservative Korrektur durchgeführt?
  • Bei 'teilweise' / 'nicht angemessen': Maßnahmenplan?
  • Leiter-Interne-Revision-Review pro Punkt?

Typische Fehlermuster — und wie anymize gegensteuert

  • KI bewertet alle Punkte angemessen trotz erkennbarer Lücken — konservative Korrektur Pflicht.
  • KI vergisst KI-Inventar-Punkt nach BaFin-Orientierungshilfe.
  • KI halluziniert IIA-Standard-Nummer.
  • KI nennt konkrete FTE-Namen statt aggregierter Personal-Daten.
  • KI verzichtet auf [VERIFY: …]-Marker.
13

Rechtsgrundlagen

Normen, Urteile, Belege

Aufsichtsrechtliche Primärnormen

  • Innenrevisions-Funktion (SRC-0115)
  • IKS-Letztverantwortung (SRC-0106)
  • International Standards

Datenschutz

  • Beschäftigtendatenschutz (SRC-0144)
  • Bankgeheimnis (SRC-0109)
  • AVV (SRC-0142)
  • KI-Inventar (SRC-0119)

Tool-Markt

  • Audit-Plattform (SRC-0200)
  • GRC-Integration
  • GenAI-Audit (SRC-0152)
  • Synthese (SRC-0156)

Stand: · Nächste Überprüfung:

Hinweis zur Nutzung

Zur Orientierung — nicht als Mandatsersatz

Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.

KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.

Jetzt starten.
14 Tage kostenlos testen.

Alle Modelle. Alle Features. Keine Kreditkarte.

Kostenlos startenWie es funktioniert

Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.

Dein KI-Arbeitsplatz wartet.