Interne Revision und Audit
Quartalsbericht Innenrevision an Vorstand
anymize pseudonymisiert Detail-Bezüge der Findings (Mandanten, Mitarbeiter-Funktionen) vor der KI-Synthese; aggregierte Statistik bleibt sichtbar. So entsteht ein Vorstands-lesefähiger Quartalsbericht nach MaRisk AT 4.4 ohne § 26 BDSG- oder § 43 KWG-Risiken.
Schwierigkeit: Fortgeschritten · Datenklasse: Mandantendaten · Letztes Review:
Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.
Anwendungsbereich
Worum geht es hier?
MaRisk AT 4.4 verlangt regelmäßige Berichterstattung der Innenrevision an die Geschäftsleitung. Quartals-Berichte sind Standard; Inhalte umfassen Prüfungsfortschritt, Findings-Statistik, kritische Themen. KI-gestütztes Drafting beschleunigt bei gleichbleibender Struktur-Qualität und sorgt für Konsistenz mit Vorperioden.
Für wen passt das?
Zielgruppe und Kontext
- Rolle
- Leiter Interne Revision (Sign-off), Audit-Manager (Drafting), Senior Auditor (Beiträge).
- Seniorität
- Senior — Quartals-Berichts-Erfahrung; Vorstands-Lesefähigkeit; MaRisk-AT-4.4-Berichtswesen.
- Kanzleigröße
- Alle MaRisk-pflichtigen Institute.
- Spezifische Kontexte
- Reguläre Quartals-Vorstands-Vorlage; Ad-hoc-Vorstands-Information bei kritischen Findings; Vor-Vorbereitung für AR-Prüfungsausschuss-Vorlage.
Die Situation in der Kanzlei
So bringen Sie Tempo und Sorgfalt zusammen
Ein Quartalsbericht der Innenrevision umfasst typisch 8–20 Seiten: Executive Summary, Plan-Stand (% abgeschlossen), Findings-Statistik (neu / geschlossen / offen / überfällig), Top-Risiken, kritische Findings im Detail, Personal-/Ressourcen-Stand. Manueller Aufwand: 8–15 h. Inhaltlich enthalten Berichte Detail-Bezüge zu Findings (Klasse A); die aggregierte Statistik ist Klasse C. Vorstands-Vorlage darf weder vorschnell beschuldigen noch kritische Themen verschweigen — der CRAFT-Prompt erzwingt vorsichtige Sprache.
Was Sie davon haben
Zeit, Wert, Vertraulichkeit
Zeit pro Quartalsbericht
5–10 h
Bei vier Berichten p.a. ≈ 28 h Hebel.
Konsistenz mit Vorperiode
100 %
Vorperiode-Vergleich wird systematisch eingebaut; Vorstand erkennt Trends.
Vertraulichkeit
strukturell
anymize pseudonymisiert Klasse-A-Detail-Bezüge; Aggregat-Statistik bleibt sichtbar.
Tonalitäts-Konsistenz
Vorstand
CRAFT-Prompt erzwingt sachlich-präzise Vorstands-Tonalität; keine Schuld-Zuweisung.
So gehen Sie vor
In 5 Schritten zum Antrag
Quartals-Daten aus Audit-Tool aggregieren: Plan-Stand, Findings-Statistik, abgeschlossene Prüfungen.
Sie + Audit-Tool
Methodik
Beiträge der Senior-Auditoren zu laufenden Prüfungen einsammeln.
Sie
Substanz
Klasse-Entscheidung: aggregierte Statistik = Klasse C; Detail-Findings mit Personen-/Mandanten-Bezug = Klasse A.
Sie
Datenschutz
anymize pseudonymisiert die Klasse-A-Details vor der LLM-Synthese.
anymize
§ 26 BDSG · § 43 KWG
LLM-Draft Quartalsbericht mit fester Struktur (Executive Summary, Plan-Stand, Findings, Top-Risiken, kritische Findings, Ressourcen).
GPT / Claude / Gemini in anymize
Strukturierung
Faktencheck (Vorperiode-Konsistenz, BaFin-Schwerpunkte); Senior-Audit-Review.
Sie
Aufsichts-Substanz
Leiter-Interne-Revision-Sign-off; Versand an Geschäftsleitung; Aufnahme in AR-Prüfungsausschuss-Vorlage Q4.
Sie
Governance
Womit Sie arbeiten
So setzen Sie anymize konkret ein
Was anymize tut
- Pseudonymisiert Detail-Findings mit Personen-/Mandanten-Bezug.
- Bidirektionale Re-Identifikation pro kritischem Finding.
- Verarbeitung in deutschen Rechenzentren (Hetzner); AVV nach Art. 28 DSGVO.
- Konsistente Pseudonymisierung über Quartals-Iterationen — Trend-Vergleich möglich.
Was Sie als Revision tun
- Quartals-Daten aus dem Audit-Tool exportieren und aggregieren.
- Strategische Bewertungen formulieren — KI strukturiert, ersetzt nicht.
- Vorperiode-Konsistenz prüfen; BaFin-Schwerpunkte abgleichen.
- Senior-Audit-Review und Leiter-Interne-Revision-Sign-off.
Daten-Input
Audit-Tool-Quartals-Auszug (Plan-Stand, Findings-Statistik), Senior-Auditor-Beiträge, Vorperiode-Bericht, BaFin-Schwerpunkte 2026.
Output-Kontrolle
Pseudonymisierter Korpus geht an die KI. Re-identifizierter Bericht-Entwurf mit Executive Summary, Plan-Stand, Findings-Statistik, Top-Risiken, kritischen Findings und Ressourcen-Stand kommt zurück.
Freigabeprozess
Audit-Manager → Leiter Interne Revision → Vorstand.
Die KI-Anweisung
Prompt zum Kopieren
So nutzen Sie diesen Prompt:
1. Quartals-Daten aus dem Audit-Tool in anymize einfügen — Pseudonymisierung der Detail-Findings läuft automatisch.
2. Diesen Prompt anhängen; im Thinking-Modus starten.
3. Vorperiode-Konsistenz und BaFin-Schwerpunkte prüfen.
4. Leiter-Interne-Revision-Sign-off vor Versand an Geschäftsleitung.
# Context (C)
Du unterstuetzt die Erstellung eines Quartalsberichts der Innen-
revision an die Geschaeftsleitung in einem deutschen BaFin-
beaufsichtigten Institut nach MaRisk AT 4.4. Rechtsstand:
<heutiges Datum>. Eingabe enthaelt pseudonymisierte Detail-Findings
([[Kategorie-Hash]]) und Klartext-Aggregate.
# Role (R)
Du agierst als Quartalsbericht-Drafting-Assistenz. Du kennst MaRisk
AT 4.4, § 25a KWG, typische Quartalsbericht-Struktur (Executive
Summary / Plan-Stand / Findings / Top-Risiken / kritische Findings /
Ressourcen).
# Action (A)
1. Executive Summary 5–8 Saetze: Plan-Stand, Findings-Kernzahlen,
Top-3-Themen.
2. Plan-Stand: % abgeschlossen, Soll-Ist-Abweichung mit Begruendung.
3. Findings-Statistik: neu / geschlossen / offen / ueberfaellig /
eskaliert.
4. Top-Risiken-Liste: 3–5 Themen mit kurzer Begruendung.
5. Kritische Findings im Detail: pro Finding 3–5 Saetze.
6. Personal-/Ressourcen-Stand kurz.
7. "[VERIFY: ...]"-Marker.
8. Vorsichtige Sprache.
# Format (F)
Strukturierte Abschnitte; Tabellen fuer Statistik.
# Target Audience (T)
Geschaeftsleitung; sachlich-praezise, behoerdensprachlich.
# Verbote
KEINE Schuld-Zuweisung an konkrete Personen.
KEIN BaFin-Bezug ohne "[VERIFY: ...]"-Markierung.
KEINE Bagatellisierung kritischer Themen.So sieht der Sachverhalt aus
Pseudonymisierter Eingabetext
Quartalsbericht-Briefing — Q1/2026
Plan-Stand:
- Prüfungsplan 2026: 22 Prüfungen geplant
- Q1: 5 abgeschlossen, 4 in Bearbeitung, 13 ausstehend; auf Kurs
Findings-Statistik Q1/2026:
- neu eröffnet: 38 (8 hoch, 18 mittel, 12 niedrig)
- geschlossen: 28
- offen Ende Q1: 142 (16 hoch, 64 mittel, 62 niedrig)
- überfällig: 11 (3 hoch); davon eskaliert: 2
Top-Risiken Q1/2026:
1. IT-Berechtigungs-Konzept Buchhaltung (F-2024-088, Verzug 133
Tage, BAIT)
2. Sicherheiten-Frische Firmenkundenkredit (F-2026-051, MaRisk BTO)
3. ESG-Reporting CSRD-Erstanwendung (Prüfung Q3/2026 vorgesehen)
Personal-Stand:
- 8 FTE (Soll 9 FTE); 1 offene Position seit 11/2025 in BesetzungSo liefert anymize zurück
Der Antrags-Entwurf
# Quartalsbericht Innenrevision Q1/2026
## Executive Summary
Die Innenrevision hat in Q1/2026 fünf von 22 geplanten Prüfungen
abgeschlossen; vier weitere sind in Bearbeitung. Der Prüfungsplan
ist plangerecht. 38 neue Findings wurden dokumentiert, 28
geschlossen; der offene Findings-Bestand beträgt 142 (davon 16 hoch).
Drei Themen prägen das Quartal: IT-Berechtigungs-Konzept Buchhaltung
(Verzug 133 Tage, BAIT-Bezug, eskaliert), Sicherheiten-Frische
Firmenkundenkredit (systemisches Hoch-Risiko-Finding) und
vorbereitende Schritte für die ESG-/CSRD-Erstanwendungs-Prüfung
Q3/2026. Personalstand 8 von 9 FTE; eine offene Position seit
11/2025 in Besetzung.
## Plan-Stand
22 Prüfungen geplant 2026; Q1: 5 abgeschlossen (22,7 %); 4 in
Bearbeitung; auf Kurs.
## Findings-Statistik Q1/2026
| Kategorie | hoch | mittel | niedrig | Summe |
|---|---|---|---|---|
| neu eröffnet | 8 | 18 | 12 | 38 |
| geschlossen | 5 | 13 | 10 | 28 |
| offen | 16 | 64 | 62 | 142 |
| überfällig | 3 | 5 | 3 | 11 |
## Top-Risiken Q1/2026
1. IT-Berechtigungs-Konzept Buchhaltung (F-2024-088) — BAIT-Bezug,
Verzug 133 Tage, an Leitung Interne Revision eskaliert.
2. Sicherheiten-Frische Firmenkundenkredit (F-2026-051) — MaRisk-
BTO-Verstoß, systemische Schwäche.
3. ESG-Reporting / CSRD-Erstanwendung — Prüfung Q3/2026 vorgesehen.
[VERIFY: CSRD-Erstanwendungs-Stichtag und ESG-Datenbasis nach
BCBS 239]
## Personal-/Ressourcen-Stand
8 von 9 FTE; offene Position seit 11/2025 in Besetzung; erwartete
Besetzung Q3/2026.Was das Berufsrecht verlangt
Pflichten — und wie anymize sie abdeckt
MaRisk AT 4.4 (SRC-0115)
Quartals-Berichterstattung an die Geschäftsleitung Pflicht; Inhalt umfasst Plan-Stand, Findings-Statistik, kritische Themen.
§ 25a KWG (SRC-0106)
IKS-Letztverantwortung; Quartals-Bericht ist Teil des Steuerungs-Instruments.
§ 26 BDSG (SRC-0144)
Bei Detail-Findings mit Personen-Bezug sensible Beschäftigtendaten-Verarbeitung.
§ 43 KWG (SRC-0109)
Mandanten-Bezüge in kritischen Findings sind Bankgeheimnis; Pseudonymisierung Pflicht.
Vorstands-Verantwortung
Quartals-Bericht löst Vorstands-Aufsichtspflicht (§ 130 OWiG) aus; vorschnelle Aussagen sind Risiko.
BaFin Orientierungshilfe IKT/KI 18.12.2025 (SRC-0119)
Der KI-Draft-Workflow ist im KI-Inventar zu führen.
Datenschutz und Vertraulichkeit
So funktioniert das mit anymize
Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 25a KWG und MaRisk AT 4.4; für Mitarbeiterdaten § 26 BDSG; für Mandanten-Bezüge § 43 KWG. AVV nach Art. 28 DSGVO mit Auslagerungs-Annex nach § 25b KWG ist Standard. Verarbeitung in deutschen Rechenzentren (Hetzner).
Was anymize konkret leistet
- Pseudonymisiert Detail-Findings mit Personen-/Mandanten-Bezug.
- Aggregat-Statistik bleibt sichtbar — Vorstands-Lesefähigkeit erhalten.
- Konsistente Pseudonymisierung über Quartals-Iterationen.
- Verarbeitung in deutschen Rechenzentren (Hetzner); AVV im Standardvertrag.
Sicherheitscheck vor der Einreichung
Was anymize liefert — was Sie souverän entscheiden
Vor dem KI-Aufruf
- Quartals-Daten aus Audit-Tool aggregiert?
- Vorperiode-Bericht beigefügt?
- Klasse-Entscheidung getroffen?
Nach der KI-Antwort
- Vorperiode-Konsistenz geprüft?
- BaFin-Schwerpunkte abgeglichen?
- Tonalität sachlich-vorsichtig?
Vor dem Versand
- Senior-Audit-Review?
- Leiter-Interne-Revision-Sign-off?
- Bei kritischen Themen: Ad-hoc-Vorstands-Information bereits erfolgt?
Typische Fehlermuster — und wie anymize gegensteuert
- →KI bagatellisiert kritisches Hoch-Risiko-Finding (im Wesentlichen unter Kontrolle) — vorsichtige Sprache prüfen.
- →KI vergisst Vorperiode-Vergleich — Vorstand erkennt Trend nicht.
- →KI nennt konkrete Mitarbeiter-Namen trotz Prompt-Verbot.
- →KI verzichtet auf [VERIFY: …]-Marker bei BaFin-Bezügen.
- →KI vergisst Eskalations-Status bei überfälligen Findings.
Rechtsgrundlagen
Normen, Urteile, Belege
Aufsichtsrechtliche Primärnormen
- Berichts-Pflicht (SRC-0115)
- IKS-Letztverantwortung (SRC-0106)
- Bankgeheimnis (SRC-0109)
Datenschutz
- Beschäftigtendatenschutz (SRC-0144)
- AVV (SRC-0142)
- KI-Inventar (SRC-0119)
Tool-Markt
- Audit-Plattform (SRC-0200)
- GRC-Reporting
- Berichtserstellung Top-3 (SRC-0152)
- Synthese +20–40 % (SRC-0156)
Stand: · Nächste Überprüfung:
Hinweis zur Nutzung
Zur Orientierung — nicht als Mandatsersatz
Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.
KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.
Jetzt starten.
14 Tage kostenlos testen.
Alle Modelle. Alle Features. Keine Kreditkarte.
Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.
Dein KI-Arbeitsplatz wartet.