Interne Revision und Audit

Stichprobenauswahl-Optimierung mit Risiko-Scoring

anymize pseudonymisiert Mandanten-IDs und Bearbeiter-Identifikatoren konsistent, bevor die Top-N-Risiko-Score-Liste an GPT, Claude oder Gemini zur Plausibilisierung geht. So treffen Sie die Stichproben-Auswahl risikoorientiert nach MaRisk AT 4.4, ohne § 26 BDSG (Bearbeiter-Score) oder § 43 KWG (Mandanten-IDs) zu verletzen.

In 30 SekundenWas anymize hier leistet In 5 MinutenPrompt zum Kopieren In 30 MinutenVollständiger Workflow

Mit anymize starten Antrags-Beispiel ansehen

Schwierigkeit: Fortgeschritten · Datenklasse: Mandantendaten · Letztes Review: 2026-05-13

Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.

Anwendungsbereich

Worum geht es hier?

KI in der Internen Revision und Compliance-Auditierung

MaRisk AT 4.4 verlangt risikoorientierte Prüfung. Klassische Zufallsstichprobe gewichtet alle Akten gleich; Risiko-Scoring konzentriert Prüfungskapazität auf Akten mit höchstem Erwartungs-Risiko und ist damit ein direkter Hebel auf Prüfungs-Effektivität. BCBS 239 bildet die Daten-Grundlage. Die KI plausibilisiert die Score-Höhe und schlägt Prüfungs-Schwerpunkte vor — die methodische Letztverantwortung bleibt beim Senior Auditor.

Für wen passt das?

Zielgruppe und Kontext

Rolle: Senior Auditor (Stichproben-Definition), Data-Analytics-Auditor, Audit-Manager (Sign-off Stichproben-Methodik).
Seniorität: Mid-Level bis Senior; Stichprobentheorie-Verständnis (Materialitäts-Schwellen, Konfidenz-Niveaus, Streuungs-Maße).
Kanzleigröße: Alle MaRisk-pflichtigen Institute; besonders wertvoll in Mittelstand-Sparkassen/-Volksbanken mit großen Grundgesamtheiten und schmaler Audit-Kapazität.
Spezifische Kontexte: Kreditakten-Stichprobe (Sicherheiten-Frische, Rating-Konsistenz), AML-Transaktions-Stichprobe, Berechtigungs-Audit, HR-Berechtigungs-Stichprobe.

Die Situation in der Kanzlei

So bringen Sie Tempo und Sorgfalt zusammen

Eine typische Kredit-Audit-Stichprobe umfasst 30–80 Akten aus einer Grundgesamtheit von 200–5.000. Zufallsstichprobe gewichtet eine Akte mit 200 TEUR Volumen genauso wie eine mit 8 Mio. EUR; eine Standard-Forderung wie eine mit Forbearance-Maßnahme; eine durch Routine-Bearbeitende wie eine durch Vertretungskräfte. Risiko-Scoring erlaubt risikoproportionale Auswahl: Akten mit höherem Score haben höhere Auswahl-Wahrscheinlichkeit. Setup-Aufwand: 4–8 h pro Audit-Programm; laufender Aufwand 2–4 h pro Prüfung. Inhaltlich enthalten die Auswahl-Daten Mandanten-IDs (§ 43 KWG) und ggf. Bearbeiter-Bezüge (§ 26 BDSG). Public-Cloud-LLM-Auswertung ohne Pseudonymisierung ist nicht zulässig — und beim Bearbeiter-Score zusätzlich Art. 22 DSGVO-relevant, sobald daraus arbeitsrechtliche Folgen entstehen.

Was Sie davon haben

Zeit, Wert, Vertraulichkeit

Zeit pro Stichproben-Definition

2–4 h

Pro Audit-Programm. Haupthebel ist nicht Zeit, sondern Audit-Tiefe — höhere Trefferwahrscheinlichkeit für relevante Findings.

Effekt pro Jahr

≈ 45 h

Bei 15 Prüfungen/Jahr × 3 h Stichproben-Effort. Plus Qualitäts-Hebel durch risikoproportionale Auswahl.

Vertraulichkeit

strukturell

anymize pseudonymisiert Mandanten-IDs und Bearbeiter-Identifikatoren mit konsistenten Platzhaltern, bevor der Score-Treiber-Bezug an die KI geht.

Blind-Spot-Schutz

10 %

Pflicht-Zufalls-Komponente aus Score-Range <0,30 verhindert systematische Vernachlässigung von vermeintlich risikoarmen Bereichen (Confirmation Bias).

So gehen Sie vor

In 5 Schritten zum Antrag

Schritt

Wer

Warum

Audit-Universe-Bezug klären: Welche Grundgesamtheit? (z.B. alle Kreditengagements >250 TEUR mit Stichtag 31.03.2026). Materialitäts-Schwelle und Konfidenz-Niveau dokumentieren.

Sie

Audit-Methodik

Risiko-Score-Definition: welche Faktoren (Volumen, Konzentration, Forbearance, Bearbeiter-Komplexität, Branchen-Sondersituation, Vorperiode-Findings), welche Gewichtung? Senior-Auditor-Methodik-Sign-off.

Sie (Senior Auditor)

Methodik · Verteidigungs-Fähigkeit

Klasse-Entscheidung: Score-Faktoren mit Mandanten-/Bearbeiter-Bezug = Klasse A. Bei Bearbeiter-Score zusätzlich Betriebsrats-Beteiligung nach § 87 Abs. 1 Nr. 6 BetrVG.

Sie

Datenschutz · BetrVG

anymize pseudonymisiert Mandanten-IDs und Bearbeiter-Identifikatoren mit konsistenten `[[Kategorie-Hash]]`-Platzhaltern. Spot-Check auf Klartext-Lücken.

anymize

§ 43 KWG · § 26 BDSG

Score-Berechnung (statistisch + ML wenn vorhanden); LLM-gestützte Score-Erläuterung pro Top-N-Hit: Score-Treiber, Plausibilität (typisch vs. atypisch), Prüfungs-Schwerpunkt-Vorschlag.

Tool + GPT/Claude/Gemini in anymize

Strukturierung

Stichproben-Konstruktion: Top-X% Score-basiert (Pflicht-Einbezug) + Y% Zufalls-Komponente (Blind-Spot-Vermeidung) + Z% Falsch-Negativ-Probe aus Score-Range <0,30.

Sie

Audit-Methodik

Senior-Audit-Review der finalen Stichprobe; Dokumentation der Auswahl-Methodik im Audit-Working-Paper; Re-Identifikation der ausgewählten Akten für die Prüfung.

Sie

Verteidigungs-Fähigkeit · MaRisk AT 4.4

Womit Sie arbeiten

So setzen Sie anymize konkret ein

Was anymize tut

Konsistente Pseudonymisierung: gleicher Mandanten-/Bearbeiter-Klarname bekommt denselben Platzhalter, damit Konzentrations-Muster sichtbar bleiben.
Erkennt Mandanten-IDs, Bearbeiter-Identifikatoren, IBANs und Branchen-Bezeichnungen mit über 95 % Genauigkeit.
Re-Identifikation der ausgewählten Top-N-Akten kontrolliert für die spätere Prüfungs-Durchführung.
Verarbeitung in deutschen Rechenzentren (Hetzner); AVV nach Art. 28 DSGVO im Standardvertrag.

Was Sie als Revision tun

Risiko-Score-Definition: Faktoren-Auswahl und Gewichtung — methodische Verantwortung, KI generiert nicht.
Bei Bearbeiter-Score-Komponenten: Betriebsrats-Beteiligung und DPIA nach Art. 35 DSGVO prüfen.
Plausibilität der KI-Score-Erläuterung im Einzelfall verifizieren.
Zufalls-Komponente und Falsch-Negativ-Probe nicht weglassen (Blind-Spot-Schutz).

Daten-Input

Audit-Universe-Liste mit Engagement-Volumen, Branche, Forbearance-Status, Sicherheiten-Stand, Bearbeiter-Identifikator, Vorperiode-Findings-Bezug, Sub-Konzern-Zugehörigkeit.

Output-Kontrolle

Pseudonymisierte Top-N-Score-Liste geht an die KI. Re-identifizierte Plausibilisierungs-Tabelle mit Score-Treibern, Prüfungs-Schwerpunkten und [VERIFY: …]-Markern kommt zurück. Stichproben-Konstruktion bleibt beim Senior Auditor.

Freigabeprozess

Senior-Auditor-Sign-off Methodik; Audit-Manager-Sign-off Stichproben-Umfang; bei Bearbeiter-Score zusätzlich HR-/Betriebsrats-Abstimmung.

Die KI-Anweisung

Prompt zum Kopieren

So nutzen Sie diesen Prompt:

1. Top-N-Score-Liste aus dem Analytics-Tool in anymize einfügen — konsistente Pseudonymisierung erhält die Konzentrations-Muster.

2. Diesen Prompt anhängen; im Reasoning-Modus Thinking starten.

3. Plausibilisierungs-Tabelle verifizieren; Stichproben-Konstruktion mit Zufalls-Komponente.

4. Senior-Audit-Methodik-Sign-off.

Empfohlener Reasoning-Modus in anymize: Thinking-Modus für die Plausibilisierung. Bei Bearbeiter-Score-Komponenten zusätzlich BetrVG-Beteiligung prüfen.

# Context (C)
Du unterstützt die Risiko-Scoring-Erläuterung für eine Audit-
Stichprobenauswahl in einem deutschen BaFin-beaufsichtigten Institut
nach MaRisk AT 4.4. Rechtsstand: <heutiges Datum>. Eingabe ist eine
pseudonymisierte Top-N-Liste mit Score-Faktoren; Mandanten-IDs und
Bearbeiter-Identifikatoren als [[Kategorie-Hash]].

# Role (R)
Du agierst als Audit-Stichproben-Erläuterungs-Assistenz. Du kennst
MaRisk AT 4.4 (risikoorientierte Prüfung), IDW PS 980, BCBS 239
(Risk Data Aggregation), § 25a KWG. Du kennst typische Risiko-
Faktoren in der Kreditakten-Prüfung (Volumen, Konzentration,
Forbearance, Bearbeiter-Komplexität, Branchen-Sondersituation,
Vorperiode-Findings).

# Action (A)
Pro Top-N-Akte:
1. Wiedergabe Score-Höhe und Score-Treiber (welche 2–3 Faktoren
   tragen am meisten?).
2. Plausibilisierungs-Skizze: Ist dieses Score-Profil typisch oder
   atypisch?
3. Prüfungs-Schwerpunkt-Vorschlag: Welche zwei bis drei Prüfungs-
   Fragen drängen sich bei diesem Score-Profil auf?
4. Markiere alle Annahmen mit '[VERIFY: …]', die gegen Audit-Manual
   oder Vorperiode-Daten zu prüfen sind.

# Format (F)
Tabelle: | Akte-ID (Platzhalter) | Score | Top-Treiber | Plausibilität |
Prüfungs-Schwerpunkt | VERIFY |

# Target Audience (T)
Senior Auditor für Stichproben-Sign-off; menschliche
Letztentscheidung Pflicht.

# Verbote
KEINE Vorverurteilung von Bearbeitenden — Score ist Entscheidungs-
Vorbereitung, nicht Vorwurf.
KEIN Prüfungs-Schwerpunkt ohne nachvollziehbaren Score-Treiber-Bezug.

So sieht der Sachverhalt aus

Pseudonymisierter Eingabetext

Top-10-Score-Liste nach anymize-Anonymisierung. Konsistente Pseudonymisierung erhält die Konzentrations-Muster (gleicher Mandant → gleicher Hash über die Grundgesamtheit).

Top-10-Risiko-Scoring — Audit 'Firmenkundenkredit Q2/2026'
Grundgesamtheit: 412 Engagements >250 TEUR, Stichtag 31.03.2026

Akte         | Score | Top-Treiber
[[M-a3f9]]   | 0,89  | Volumen 7,2 Mio., Forbearance-Indikator,
                       Branche 'Automobilzulieferer'
[[M-b2e7]]   | 0,84  | Volumen 4,8 Mio., Konzentration auf
                       Sub-Konzern, Vorperiode 2 Findings
[[M-c4d1]]   | 0,81  | Volumen 6,1 Mio., Bearbeiter
                       [[Mitarbeiter-7e2a]] mit 4 Vorperiode-Findings
[[M-d5f3]]   | 0,77  | Konzentration Branche 'Gewerbe-Immobilien',
                       Sub-Konto-Komplexität
[[M-e8a2]]   | 0,75  | Forbearance laufend; Sicherheiten-Aktualität
                       >9 Monate
[[M-f1c6]]   | 0,72  | Vorperiode-Finding F-2025-019 noch nicht
                       geschlossen
[[M-219e]]   | 0,69  | Branchen-Stress (Energie-Großverbraucher);
                       Rating Update überfällig
[[M-3a8b]]   | 0,66  | Konzentration auf Einzel-Bürgen
[[M-7e2a]]   | 0,64  | Großvolumiger Konsortial-Kredit mit Lead-Bank-
                       Wechsel in Q1/2026
[[M-9f1c]]   | 0,62  | Vertretungs-Bearbeitung in 5 von 7 Vorgängen
                       2026

So liefert anymize zurück

Der Antrags-Entwurf

KI-Output (Beispiel). Die Stichproben-Konstruktion bleibt beim Senior Auditor; die KI plausibilisiert nur die Score-Höhen.

| Akte | Score | Top-Treiber | Plausibilität | Prüfungs-Schwerpunkt | VERIFY |
|---|---|---|---|---|---|
| [[M-a3f9]] | 0,89 | Volumen, Forbearance, Automobilzulieferer | atypisch (drei Top-Treiber gleichzeitig) | (1) Forbearance-Bedingungen aktuell?; (2) Sicherheiten-Frische?; (3) Branchen-Stresstest dokumentiert? | [VERIFY: Forbearance-Klassifikation gegen EBA-Guidelines] |
| [[M-b2e7]] | 0,84 | Volumen, Sub-Konzern-Konzentration, Vorperiode 2 Findings | typisch (Wiederholungs-Akte) | (1) Vorperiode-Findings geschlossen?; (2) Sub-Konzern-Limit gemäß § 13 KWG? | [VERIFY: Vorperiode-Findings-Status in TeamMate+] |
| [[M-c4d1]] | 0,81 | Volumen, Bearbeiter mit Vorperiode-Findings | atypisch (Bearbeiter-Konzentration) | (1) Bearbeiter-Schulungs-Status?; (2) Vier-Augen-Konformität? | [VERIFY: Bearbeiter-Schulungs-Doku; Vier-Augen-Belege] |
| [[M-d5f3]] | 0,77 | Branchen-Konzentration, Sub-Konto-Komplexität | typisch | (1) Gewerbe-Immobilien-Bewertungs-Frische?; (2) Sub-Konto-Beleihungs-Konsistenz? | [VERIFY: Bewertungs-Datum] |
| [[M-e8a2]] | 0,75 | Forbearance, Sicherheiten-Alter | typisch (Wiederholungs-Risiko) | (1) Sanierungs-Konzept aktuell?; (2) Sicherheiten-Neubewertung? | [VERIFY: Sanierungs-Konzept-Status] |

## Stichproben-Vorschlag
- Top-10 Score-basiert (Pflicht-Einbezug).
- 20 zusätzliche Akten zufallsbasiert aus Score-Range 0,30–0,60
  (Blind-Spot-Vermeidung).
- 10 Akten aus Score-Range <0,30 (Falsch-Negativ-Risiko-Probe).
- **Gesamt-Stichprobe: 40 Akten / 412 Engagements (9,7 %).**

## Unsicherheiten
- Score-Verteilung im pseudonymisierten Auszug nur Top-10 — Gesamt-
  verteilung für Konfidenz-Bewertung empfohlen.
- Bearbeiter-Konzentration ([[Mitarbeiter-7e2a]] in [[M-c4d1]])
  sollte mit Personal-Abteilung abgestimmt werden, bevor sie zum
  Audit-Schwerpunkt erhoben wird (§ 26 BDSG).

Was das Berufsrecht verlangt

Pflichten — und wie anymize sie abdeckt

MaRisk AT 4.4 (SRC-0115)

Stichprobe muss risikoorientiert sein, aber auch Vollständigkeits-Prinzip beachten — Zufalls-Komponente nicht weglassen. Reines Risiko-Scoring ohne Blind-Spot-Probe ist methodisch angreifbar.

§ 25a KWG (SRC-0106)

Stichproben-Methodik ist Teil des IKS; Letztverantwortung bei der Geschäftsleitung. Die Audit-Methodik-Dokumentation muss verteidigungsfähig sein.

§ 26 BDSG (SRC-0144) — Bearbeiter-Score

Bearbeiter-Bezug im Risiko-Score (z.B. Bearbeiter mit Vorperiode-Findings) ist sensible Beschäftigtendaten-Verarbeitung; Betriebsrats-Beteiligung nach § 87 Abs. 1 Nr. 6 BetrVG empfohlen; DPIA nach Art. 35 DSGVO bei systematischer Anwendung.

§ 43 KWG (SRC-0109)

Mandanten-IDs in der Score-Liste sind Bankgeheimnis. Pseudonymisierung Pflicht vor externer LLM-Verarbeitung.

BCBS 239 (SRC-0205) — Datenqualität

Score-Qualität hängt an Daten-Qualität; lückenhafte Daten = lückenhafter Score = falsche Stichproben-Auswahl.

Confirmation Bias

Scoring-Definition spiegelt Vorerwartungen; die explizite Blind-Spot-Probe (Score <0,30) ist methodische Schutzmaßnahme.

Mindest-Stichproben-Anforderungen

AML-Stichproben (BaFin-AuA-GwG), IT-Audit-Stichproben (BAIT) haben Mindest-Vorgaben — Risiko-Scoring darf diese nicht unterschreiten.

Datenschutz und Vertraulichkeit

So funktioniert das mit anymize

Bei systematischem Bearbeiter-Risiko-Scoring ist eine DPIA nach Art. 35 DSGVO Pflicht; der Betriebsrat ist nach § 87 Abs. 1 Nr. 6 BetrVG zu beteiligen. Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 25a KWG; für Bearbeiter-Bezug § 26 BDSG. Art. 22 DSGVO greift nicht, weil der Score eine Entscheidungs-Vorbereitung ist und Schritt 7 (Senior-Audit-Review) die menschliche Letztentscheidung sichert. Mandanten-IDs werden durch § 43 KWG geschützt — Pseudonymisierung ist hier strukturelles Schutzkonzept. AVV nach Art. 28 DSGVO mit Auslagerungs-Annex nach § 25b KWG ist Standard.

Was anymize konkret leistet

Konsistente Pseudonymisierung: gleicher Mandant/Bearbeiter wird über die Grundgesamtheit hinweg auf denselben Platzhalter abgebildet.
Erkennt Mandanten-IDs, Bearbeiter-Identifikatoren, IBANs und Branchen-Bezeichnungen mit über 95 % Genauigkeit.
Re-Identifikation der ausgewählten Top-N-Akten für die spätere Prüfungs-Durchführung.
Verarbeitung in deutschen Rechenzentren (Hetzner); AVV nach Art. 28 DSGVO im Standardvertrag.
Originaldokumente werden nicht gespeichert.

Sicherheitscheck vor der Einreichung

Was anymize liefert — was Sie souverän entscheiden

Methodik-Definition

Grundgesamtheit klar definiert (Stichtag, Schwellen)?
Score-Faktoren und Gewichtung dokumentiert?
Bei Bearbeiter-Score: BetrVG-Beteiligung + DPIA?
Mindest-Stichproben-Anforderungen (AML, BAIT) eingehalten?

Vor dem KI-Aufruf

Konsistente Pseudonymisierung verifiziert?
Vergleichs-Population (Vorperiode) beigefügt?
Klassifikation Klasse A korrekt?

Stichproben-Konstruktion

Zufalls-Komponente (Blind-Spot-Vermeidung) eingebaut?
Falsch-Negativ-Probe aus Score-Range <0,30?
Senior-Audit-Methodik-Sign-off erfolgt?
Auswahl-Methodik im Working-Paper dokumentiert?

Typische Fehlermuster — und wie anymize gegensteuert

→KI verzichtet auf Blind-Spot-Probe und schlägt 100 % Top-Score-Auswahl vor — Confirmation Bias.
→KI verurteilt Bearbeitende vor (dieser Bearbeiter ist auffällig) statt nur Score-Treiber zu nennen.
→KI vergisst Mindest-Stichproben für AML (BaFin-AuA-GwG) und schlägt zu kleine Stichproben vor.
→KI ignoriert BCBS-239-Datenqualität und nimmt Score-Werte unkritisch an.
→KI verzichtet auf [VERIFY: …]-Marker und liefert Pseudo-Sicherheit.

Rechtsgrundlagen

Normen, Urteile, Belege

Aufsichtsrechtliche Primärnormen

Risikoorientierte Prüfung (SRC-0115)
IKS-Letztverantwortung (SRC-0106)
Risk Data Aggregation (SRC-0205)
Bankgeheimnis (SRC-0109)

Datenschutz und Mitbestimmung

Beschäftigtendatenschutz (SRC-0144)
Betriebsrats-Beteiligung
Automatisierte Einzelentscheidung
AVV / DPIA (SRC-0142)

Tool-Markt

100%-Risiko-Scoring (SRC-0200)
Audit-Plattform (SRC-0200)
Etablierter Standard On-Premise

Aufsichts-Praxis

KI-Inventar (SRC-0119)
ML in Banking Supervision

Stand: 2026-05-13 · Nächste Überprüfung: 2026-11-13

Hinweis zur Nutzung

Zur Orientierung — nicht als Mandatsersatz

Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.

KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.

Jetzt starten.
14 Tage kostenlos testen.

Alle Modelle. Alle Features. Keine Kreditkarte.

Kostenlos starten Wie es funktioniert

Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.

Dein KI-Arbeitsplatz wartet.