ISO 42001 Audit Vorbereitung
ISO 42001 Audit Vorbereitung umfasst die systematische Prüfung aller AIMS-Dokumente, Prozesse und Nachweise aufgeteilt in Stage 1 für die Dokumentenprüfung und Stage 2 für das Vor-Ort-Audit. Wer Scope, KI-Inventar, Statement of Applicability, Rollen, Schulungsnachweise und Korrekturmaßnahmen früh strukturiert vorbereitet, reduziert Findings deutlich und verkürzt Rückfragen im Audit.
Ein Audit nach ISO/IEC 42001:2023 ist kein reiner Dokumententest, sondern eine Wirksamkeitsprüfung Ihres Artificial Intelligence Management System. Auditoren wollen sehen, ob Ihr AIMS nicht nur auf dem Papier existiert, sondern im Alltag gesteuert wird: mit klaren Verantwortlichkeiten, belastbaren Entscheidungen, nachvollziehbaren Nachweisen und einem erkennbaren Verbesserungsprozess. Für viele Unternehmen ist genau diese Übersetzung von Normlogik in operative Praxis der kritische Punkt.
Für die Einordnung vorab gilt: Stage 1 und Stage 2 sind zwei getrennte Prüfungsphasen mit unterschiedlichem Fokus. Stage 1 bewertet, ob Ihr Managementsystem konzeptionell tragfähig ist. Stage 2 bewertet, ob es in der Organisation tatsächlich funktioniert. Wenn Sie den normativen Rahmen zunächst einordnen möchten, hilft der ISO-42001-Leitfaden. Für die Grundlagen von Rollen, Scope und AIMS-Struktur ist außerdem der Überblick zu ISO 42001 sinnvoll. Wenn Sie parallel Kompetenzaufbau im Team dokumentierbar aufsetzen wollen, ist die ISO-42001-Schulung die direkte Anschlussseite.
ISO 42001 Audit — Was Sie erwartet
Ein ISO 42001 Audit folgt im Kern einem zweistufigen Ansatz: Zuerst wird die Systemarchitektur Ihres AIMS geprüft, danach die tatsächliche Umsetzung. Diese Trennung ist sinnvoll, weil Auditoren zunächst klären müssen, ob Scope, Methodik, Dokumentation und Steuerungslogik plausibel sind, bevor sie operative Wirksamkeit im Detail beurteilen.
Stage 1 ist in der Regel kürzer und stärker dokumentenorientiert. Bei kleinen und mittleren Organisationen liegt der Aufwand oft bei ein bis zwei Tagen. In dieser Phase prüfen Auditoren typischerweise Scope, relevante Richtlinien, Risikomethodik, das KI-Inventar, Rollenbeschreibungen, das Statement of Applicability, Kompetenzplanung und die Struktur des Verbesserungsprozesses. Häufig erfolgt die Prüfung remote, teils ergänzt um kurze Interviews mit Schlüsselrollen.
Stage 2 ist deutlich praxisnäher. Hier geht es um die Frage, ob das Managementsystem tatsächlich gelebt wird. Für KMU mit überschaubarem Scope sind drei bis fünf Audittage ein realistischer Richtwert. Größere Organisationen, mehrere Standorte, viele KI-Anwendungen oder ein unreifer Reifegrad erhöhen den Aufwand entsprechend. Auditoren arbeiten in Stage 2 stärker mit Stichproben, Systemnachweisen, Interviewketten und Nachverfolgung einzelner Entscheidungen.
Der typische Auditor-Ansatz ist risikoorientiert. Gemäß ISO 19011:2018 werden Auditziele, Kriterien, Scope und Methoden vorab definiert. Im Audit selbst beginnt die Prüfung oft bei übergreifenden Dokumenten und bewegt sich dann in konkrete Beispiele hinein. Ein Auditor fragt also selten nur, ob eine KI-Policy existiert. Er will sehen, wie diese Policy in Freigaben, Risikobewertungen, Zuständigkeiten, Änderungsprozessen und Schulungen tatsächlich wirksam wird.
Die folgende Übersicht zeigt, womit Sie in beiden Phasen typischerweise rechnen sollten:
| Auditstufe | Typischer Fokus | Übliche Nachweise | Richtwert Dauer |
|---|---|---|---|
| Stage 1 | Aufbau und Plausibilität des AIMS | Scope, KI-Policy, KI-Inventar, Risikomethodik, SoA, Rollen, Schulungsplanung | 1-2 Tage |
| Stage 2 | Wirksamkeit im Betrieb | Interviews, Stichproben, Logs, Freigaben, Auditberichte, Management Review, Korrekturmaßnahmen | 3-5 Tage bei KMU |
Wichtig ist die richtige Erwartungshaltung: Ein gutes Audit belohnt keine perfekte Rhetorik, sondern nachvollziehbare Steuerung. Unternehmen schneiden meist dann gut ab, wenn Dokumente und Praxis zueinander passen. Probleme entstehen fast immer dort, wo Richtlinien formal vorhanden sind, operative Teams aber anders arbeiten oder zentrale Nachweise nicht auffindbar sind.
Stage 1 — Dokumentenprüfung vorbereiten
Stage 1 entscheidet, ob Ihr AIMS grundsätzlich auditfähig ist. Auditoren suchen in dieser Phase nach Vollständigkeit, Konsistenz und Anschlussfähigkeit Ihrer Dokumentation. Sie prüfen also nicht nur, ob Dokumente vorhanden sind, sondern ob diese logisch zusammenpassen und zu Ihrem Scope passen.
Zu den Mindestunterlagen gehören regelmäßig die Beschreibung des Scopes, eine KI-Policy oder vergleichbare Leitlinie, definierte Rollen und Verantwortlichkeiten, eine Risikobewertungsmethodik, ein KI-Inventar, das Statement of Applicability, Regelungen zu Kompetenz und Schulung, interne Auditplanung sowie Nachweise zum Management Review. In der Praxis kommen weitere Dokumente hinzu, etwa Verfahren für Änderungen, Vorfälle, Lieferantensteuerung, Monitoring oder Korrekturmaßnahmen. Der oft genannte Wert von 22 oder mehr Pflicht- und Kernunterlagen ist für ein belastbares AIMS realistisch.
Besonders wichtig ist das Zusammenspiel der Kerndokumente. Das KI-Inventar muss zum Scope passen. Die Risikomethodik muss in Ihren Bewertungen sichtbar angewendet werden. Das Statement of Applicability muss erklären, welche Kontrollen relevant sind, wie sie umgesetzt werden oder warum sie ausgeschlossen wurden. Schulungsplanung und Kompetenznachweise müssen zu den Rollen im AIMS passen. Genau an diesen Verknüpfungen zeigen sich in Stage 1 die meisten Lücken.
Die folgende Checkliste hilft bei der Vorbereitung:
| Bereich | Prüffrage für Stage 1 | Typische Lücke |
|---|---|---|
| Scope | Ist klar beschrieben, welche KI-Systeme, Prozesse und Organisationseinheiten im Scope liegen? | Scope zu abstrakt oder faktisch nicht abgrenzbar |
| KI-Inventar | Sind alle KI-Systeme mit Zweck, Status, Verantwortlichen und Einsatzkontext erfasst? | Unvollständige Liste oder fehlende Versionen |
| Risikomethodik | Gibt es Kriterien, Bewertungslogik, Verantwortliche und Re-Evaluationsregeln? | Methode beschrieben, aber nicht anwendbar |
| SoA | Ist jede relevante Kontrolle bewertet und begründet? | Nur Ja-Nein-Liste ohne Begründung |
| Rollen | Sind AIMS-Verantwortung, Freigaben und Eskalationen zugeordnet? | Rollen benannt, aber nicht kommuniziert |
| Kompetenz | Gibt es Schulungsplan, Zielgruppen und Nachweise? | Kein Bezug zwischen Rolle und Schulung |
| Management Review | Gibt es Agenda, Turnus, Inputs und dokumentierte Entscheidungen? | Review ohne echte Führungsentscheidungen |
Häufige Lücken in Stage 1 sind banal, aber wirksam. Ein Scope ohne klare Grenzen führt dazu, dass Auditoren nicht erkennen können, welche Systeme tatsächlich geprüft werden sollen. Ein KI-Inventar ohne Verantwortliche oder Lebenszyklusstatus lässt keine wirksame Steuerung erkennen. Eine SoA ohne Begründungen wirkt wie ein formales Pflichtdokument statt wie ein Führungsinstrument. Wenn Sie dieses Thema vertiefen möchten, ist der ISO-42001-Leitfaden der naheliegende Anschluss.
Praktisch bewährt sich eine Stage-1-Mappe mit einheitlicher Benennung, Versionsstand, Freigabedatum und Dokumentenverantwortlichen. Auditoren verlieren Zeit, wenn dieselbe Information in mehreren Ständen vorliegt oder nur in persönlichen Ordnern auffindbar ist. Je schneller Sie Dokumente auffindbar machen, desto stärker konzentriert sich das Audit auf inhaltliche Qualität statt auf Suchaufwand.
Stage 2 — Vor-Ort-Audit meistern
Stage 2 prüft die operative Wirksamkeit Ihres AIMS. Auditoren wollen jetzt nicht mehr nur lesen, was geregelt ist, sondern nachvollziehen, wie Entscheidungen getroffen, Risiken behandelt, Änderungen freigegeben und Vorfälle dokumentiert werden. Das gelingt fast nie über ein einziges Dokument, sondern über verknüpfte Nachweise.
Interviews spielen in Stage 2 eine zentrale Rolle. Das Management muss erklären können, warum das AIMS relevant ist, welche Ziele verfolgt werden, wie Ressourcen bereitgestellt werden und wie Ergebnisse im Management Review behandelt werden. Fachverantwortliche müssen zeigen, wie sie mit KI-Systemen arbeiten, welche Regeln gelten und wie Abweichungen eskaliert werden. IT, Compliance, Datenschutz und Fachbereiche sollten konsistente Antworten geben, ohne identische Formulierungen auswendig gelernt zu haben.
Nachweisführung bedeutet in dieser Phase vor allem Traceability. Ein Auditor startet oft bei einer Vorgabe und verfolgt dann mehrere Ketten: von der KI-Policy zum konkreten System, von der Risikobewertung zur Maßnahme, von der Schulungsanforderung zum Teilnahmenachweis, von einem Incident zur Ursachenanalyse und zur Korrekturmaßnahme. Je klarer diese Ketten belegt sind, desto geringer ist das Risiko für Findings.
Stichproben sind deshalb so wirksam, weil sie Papier und Praxis verbinden. Wenn Ihr KI-Inventar zehn Systeme aufführt, wird der Auditor einige davon auswählen und prüfen, ob zu genau diesen Systemen Risiken, Verantwortliche, Änderungen, Freigaben, Monitoring und gegebenenfalls Lieferantennachweise vorhanden sind. Fehlt die Verbindung an mehreren Stellen, entsteht schnell der Eindruck eines systemischen Problems statt einer Einzelabweichung.
Was Auditoren wirklich sehen wollen, lässt sich nüchtern zusammenfassen:
- Eine glaubwürdige Governance-Struktur mit klaren Verantwortlichen.
- Ein vollständiges und gepflegtes KI-Inventar.
- Eine SoA, die nicht nur existiert, sondern tatsächlich gesteuert wird.
- Nachweise, dass Risiken bewertet, Maßnahmen verfolgt und Entscheidungen überprüft werden.
- Kompetenznachweise für relevante Rollen.
- Ein funktionierendes internes Audit und Management Review.
Viele Organisationen unterschätzen die Rolle des Verhaltens im Audit. Gemeint ist nicht Auftreten, sondern Systemdisziplin. Wenn Teammitglieder zeigen können, wo Dokumente liegen, welche Freigabe sie nutzen und wann sie eine Abweichung melden würden, wirkt das AIMS reif. Wenn Antworten stark voneinander abweichen oder nur auf Einzelpersonen beruhen, erkennt der Auditor sofort ein Governance-Risiko.
Für die operative Vorbereitung ist es sinnvoll, vorab eine Prüfspur für zwei bis drei repräsentative KI-Systeme zu bauen. Diese Spur sollte Inventar, Risikobewertung, relevante Kontrollen, Schulungsstatus, Änderungen, Monitoring und eventuelle Korrekturmaßnahmen umfassen. So vermeiden Sie, dass das Audit in Stage 2 an verstreuten Einzelbelegen scheitert.
Die 10 häufigsten Audit-Findings
Die häufigsten Findings in ISO-42001-Audits entstehen nicht aus exotischen Spezialthemen, sondern aus wiederkehrenden Governance-Lücken. Besonders kritisch sind Lücken, die mehrere Anforderungen gleichzeitig betreffen, weil daraus schnell ein Major Finding werden kann.
Die folgende Tabelle zeigt zehn typische Findings aus der Praxis und die naheliegende Gegenmaßnahme:
| Häufiges Finding | Warum es kritisch ist | Sinnvolle Gegenmaßnahme |
|---|---|---|
| Fehlende KI-Policy | Ohne Leitlinie fehlt die übergreifende Governance-Orientierung | Policy verabschieden, kommunizieren und mit Rollen verknüpfen |
| Unvollständiges KI-Inventar | Scope und Steuerung bleiben unklar | Vollständige Systemliste mit Verantwortlichen, Status und Zweck pflegen |
| SoA-Lücken | Kontrollen sind nicht sauber bewertet oder begründet | Jede Kontrolle mit Status, Begründung und Nachweis versehen |
| Fehlende Kompetenz-Nachweise | Rollenanforderungen sind nicht belegbar | Schulungsmatrix und Teilnahmebelege führen |
| Unklare Verantwortlichkeiten | Entscheidungen und Eskalationen hängen an Einzelpersonen | RACI oder gleichwertige Zuordnung dokumentieren |
| Risiken ohne Maßnahmenbezug | Bewertungen bleiben formal und ohne Wirkung | Risiken mit Maßnahmen, Fristen und Ownern verknüpfen |
| Kein wirksames Management Review | Führung steuert das AIMS nicht erkennbar | Regelmäßige Reviews mit dokumentierten Beschlüssen durchführen |
| Schwaches internes Audit | Verbesserungsprozess ist nicht belastbar | Auditprogramm, Checklisten und Maßnahmenverfolgung etablieren |
| Fehlende Änderungssteuerung | Modell- oder Prompt-Änderungen sind nicht nachvollziehbar | Change-Prozess mit Freigaben und Versionierung einführen |
| Lückenhafte Incident-Dokumentation | Vorfälle werden nicht systematisch gelernt | Incident-Log, Ursachenanalyse und Korrekturmaßnahmen standardisieren |
Das häufigste Problem ist das unvollständige KI-Inventar. Viele Unternehmen listen nur produktive Systeme, übersehen aber Pilotanwendungen, Fachbereichstools, eingebettete KI-Funktionen in SaaS-Produkten oder Systemvarianten nach Modellversionen. Für Auditoren ist das kritisch, weil ein unvollständiges Inventar die Basis für Scope, Risiko, Kontrollen und Schulung schwächt.
Ebenfalls häufig sind Lücken im Statement of Applicability. Eine SoA soll nicht nur dokumentieren, welche Kontrollen betrachtet wurden, sondern auch deren Relevanz und Umsetzungsstatus erklären. Wenn Kontrollen pauschal als nicht anwendbar markiert sind, ohne Begründung oder Bezug zum Scope, entsteht schnell ein Finding. Wer dieses Thema vertiefen möchte, sollte den ISO-42001-Leitfaden mit der praktischen Auditperspektive zusammen lesen.
Fehlende Kompetenznachweise sind deshalb besonders heikel, weil sie zwei Ebenen gleichzeitig treffen: Einerseits fehlt der Nachweis für die Befähigung der Rollen, andererseits zeigt sich oft eine Schwäche in der Dokumentationsdisziplin. Genau hier ist ein dokumentierbarer Schulungsansatz hilfreich. Die ISO-42001-Schulung ist für viele Unternehmen der pragmatische Start, um Rollenwissen, Awareness und Nachweise sauber aufzubauen.
Dokumentation auf Audit-Niveau bringen
Dokumentation auf Audit-Niveau bedeutet nicht maximale Textmenge, sondern maximale Nachvollziehbarkeit. Auditoren erwarten keine akademischen Abhandlungen, sondern klare, aktuelle und steuerbare Dokumente. Ein kurzes, präzises Verfahren mit Verantwortlichem, Versionsstand und gelebter Anwendung ist auditfester als eine lange Richtlinie ohne operative Nutzung.
Mindestdokumente sollten in jedem Fall vorhanden und freigegeben sein. Dazu gehören Scope, KI-Policy, KI-Inventar, Risikomethodik, Risikoergebnisse, SoA, Rollenmodell, Schulungs- und Kompetenznachweise, interne Auditunterlagen, Management Review, Vorfallsprozess, Korrekturmaßnahmen und eine nachvollziehbare Änderungssteuerung. Je nach Scope kommen Lieferantenbewertung, Datenmanagement, Modellüberwachung oder Freigabeprozesse hinzu.
Formatvorgaben sind in der Praxis wichtiger, als viele Teams annehmen. Jedes zentrale Dokument sollte mindestens einen Titel, eine eindeutige Version, ein Datum, eine verantwortliche Rolle und einen Freigabestatus haben. Wenn mehrere Fassungen parallel kursieren, verliert die Organisation im Audit an Glaubwürdigkeit. Einheitliche Vorlagen helfen hier mehr als individuelle Dokumentstile.
Versionierung ist besonders bei KI-bezogenen Unterlagen essenziell. Das betrifft nicht nur Policies und Verfahren, sondern auch Inventare, Risikobewertungen, Modell- oder Prompt-Änderungen, Freigaben und Korrekturmaßnahmen. Ein Auditor muss erkennen können, welche Fassung wann galt, wer sie freigegeben hat und welche Änderung daraus resultierte. Wenn Sie den Gesamtaufbau noch strukturieren, lohnt sich ergänzend der Blick auf ISO 42001 im Überblick und auf den ISO-42001-Leitfaden.
Zugänglichkeit ist das oft unterschätzte Kriterium. Dokumente sind nicht auditfähig, wenn sie zwar theoretisch existieren, aber im Audit nicht zuverlässig gefunden werden. Gute Praxis ist ein zentraler Ablageort mit klarer Struktur, Leserechten für relevante Rollen und einer logisch aufgebauten Evidenzsammlung. Entscheidend ist nicht das Tool, sondern die Reproduzierbarkeit.
Eine einfache Mindeststruktur für Ihre Audit-Dokumentation kann so aussehen:
- Governance: Scope, KI-Policy, Rollen, Ziele.
- Steuerung: Inventar, Risiken, SoA, Maßnahmenpläne.
- Betrieb: Änderungen, Vorfälle, Monitoring, Lieferanten.
- Wirksamkeit: internes Audit, Management Review, KPIs.
- Verbesserung: Findings, Ursachenanalysen, Korrekturmaßnahmen, Nachverfolgung.
Wenn Sie diese fünf Ebenen sauber strukturieren, entsteht ein AIMS, das nicht nur im Audit funktioniert, sondern auch im Tagesgeschäft deutlich weniger Reibung erzeugt.
Mock-Audit durchführen
Ein Mock-Audit ist die wirksamste Generalprobe vor Stage 1 oder Stage 2. Es simuliert die Prüflogik des Auditors, deckt Widersprüche zwischen Dokumentation und Praxis auf und macht aus diffusen Vermutungen belastbare Findings. Wer nur Dokumente sammelt, aber keine Auditprobe durchführt, übersieht systemische Lücken fast immer zu spät.
Ein gutes Mock-Audit sollte nicht informell bleiben. Legen Sie Auditkriterien, Scope, Prüffragen, Zeitplan und Rollen im Voraus fest. Idealerweise übernimmt eine interne Revision, eine unabhängige Compliance-Funktion oder ein fachlich versierter externer Sparringspartner die Leitung. Wichtig ist vor allem ein kritischer Blick von außen auf die Nachweisführung, nicht bloß eine Selbstbestätigung des Projektteams.
Die Rollen im Mock-Audit sollten klar verteilt sein:
- Audit-Leitung für Planung, Fragelogik und Findings.
- AIMS-Verantwortliche für Dokumentenbereitstellung und Nachweisführung.
- Interviewpartner aus Management, IT, Datenschutz, Compliance und Fachbereichen.
- Protokollführung für Abweichungen, Beobachtungen und Maßnahmen.
Praktisch bewährt sich eine zweistufige Durchführung. Zuerst prüfen Sie die Dokumentenlage gegen Stage-1-Kriterien. Danach simulieren Sie Stage-2-Interviews und Stichproben zu zwei oder drei realen KI-Systemen. So erkennen Sie, ob Ihre Dokumente nur formal existieren oder ob operative Teams damit tatsächlich arbeiten.
Eine kompakte Mock-Audit-Checkliste umfasst mindestens folgende Punkte:
- Sind alle Kerndokumente freigegeben, aktuell und auffindbar?
- Stimmen Scope, KI-Inventar und SoA überein?
- Können Rollen ihre Aufgaben und Eskalationswege erklären?
- Lassen sich Risiken bis zur Maßnahme und Wirksamkeitsprüfung verfolgen?
- Gibt es Nachweise für Schulung, internes Audit und Management Review?
- Sind Incidents, Änderungen und Lessons Learned dokumentiert?
Findings aus dem Mock-Audit sollten genauso dokumentiert werden wie im echten Audit: mit Beschreibung, betroffener Anforderung, Einstufung, Ursache, Maßnahme, Verantwortlichem und Frist. Nur dann entsteht ein echter Lerneffekt. Alles andere bleibt eine lose Mängelliste ohne Steuerungswirkung.
Ein Mock-Audit ist außerdem ein guter Zeitpunkt, um Kommunikationsdisziplin zu testen. Wenn Interviewpartner anfangen zu spekulieren, widersprüchliche Begriffe zu nutzen oder auf nicht freigegebene Dokumente zu verweisen, ist das ein klares Signal für Vorbereitungsbedarf. Genau deshalb lohnt sich die Verbindung von Mock-Audit und gezieltem Kompetenzaufbau im Team.
Typische Interviewfragen im Audit
Typische Interviewfragen im Audit zielen nicht auf theoretisches Normwissen, sondern auf Verantwortlichkeit, gelebte Praxis und Eskalationsfähigkeit. Auditoren wollen verstehen, ob die befragte Person ihre Rolle im AIMS tatsächlich wahrnimmt und wie sie diese im Alltag umsetzt.
Das Management wird meist zu Führung, Ressourcen und Steuerung befragt. Typische Fragen lauten: Warum ist das AIMS für Ihr Unternehmen relevant? Welche Ziele verfolgen Sie? Wie bewerten Sie wesentliche Risiken aus KI-Nutzung? Wie stellen Sie sicher, dass Verantwortlichkeiten und Kompetenzen vorhanden sind? Was passiert, wenn ein wesentliches KI-Risiko oder ein Vorfall auftritt?
Das IT-Team wird eher zu Betrieb, Änderungen, Zugriffen, Überwachung und Nachweisen befragt. Hier interessieren Auditoren unter anderem: Wie werden Änderungen an Modellen, Konfigurationen oder Schnittstellen gesteuert? Wie dokumentieren Sie technische und organisatorische Maßnahmen? Wie erkennen Sie Vorfälle oder Leistungsabweichungen? Welche Nachweise können Sie für Monitoring und Freigaben vorlegen?
Fachbereiche werden stärker zu Nutzungskontext, menschlicher Aufsicht und praktischer Anwendung befragt. Typische Fragen sind: Für welche Zwecke nutzen Sie das KI-System? Welche Regeln gelten für Eingaben und Freigaben? Wann eskalieren Sie Unsicherheiten? Wie prüfen Sie Ausgaben vor ihrer Verwendung? Welche Schulung haben Sie erhalten?
Datenschutz- und Compliance-Funktionen werden häufig zur Governance-Schnittstelle interviewt. Auditoren fragen dann etwa: Wie fließen Datenschutz, Informationssicherheit und regulatorische Anforderungen in das AIMS ein? Wie werden Risiken bewertet und Maßnahmen priorisiert? Wie werden Findings verfolgt? Wie werden neue KI-Systeme vor Einführung beurteilt?
Die beste Vorbereitung auf diese Fragen ist kein Skript, sondern Rollenklärung. Jede befragte Person sollte vier Dinge sicher erklären können:
- Welche Verantwortung sie im AIMS trägt.
- Welche Dokumente und Prozesse sie nutzt.
- Wie sie Abweichungen, Risiken oder Vorfälle meldet.
- Wo die zugehörigen Nachweise liegen.
Wenn diese vier Punkte sicher sitzen, verlaufen Interviews meist sachlich und stabil. Wenn sie fehlen, entstehen Widersprüche, die Auditoren sehr schnell als Reifegradproblem interpretieren.
Nach dem Audit — Findings beheben
Nach dem Audit entscheidet nicht nur die Anzahl der Findings, sondern vor allem deren Einstufung und Bearbeitungsgüte über den weiteren Verlauf. Organisationen, die systematisch reagieren, können auch mit mehreren Abweichungen zügig wieder auf Kurs kommen. Organisationen, die nur Symptome korrigieren, verlängern den Aufwand fast immer.
Minor Nonconformities betreffen in der Regel isolierte oder begrenzte Abweichungen, die die Wirksamkeit des gesamten AIMS nicht grundsätzlich infrage stellen. Das kann eine einzelne fehlende Schulungsakte, eine veraltete Dokumentenversion oder ein lückenhafter Nachweis bei einem einzelnen System sein. Trotzdem sollten auch Minor Findings sauber analysiert werden, weil sich dahinter oft ein Muster verbirgt.
Major Nonconformities weisen auf systemische oder wesentliche Schwächen hin. Typische Beispiele sind ein unvollständiges oder ungeeignetes KI-Inventar, fehlende Risikosteuerung, eine nicht belastbare SoA, fehlende Kompetenznachweise über mehrere Rollen hinweg oder ein faktisch nicht funktionierendes internes Audit. Bei Major Findings reicht kosmetische Nachdokumentation nicht aus. Auditoren erwarten Ursachenanalyse, strukturelle Korrekturmaßnahme und einen belastbaren Wirksamkeitsnachweis.
Für die Bearbeitung von Findings hat sich ein klares Vier-Schritte-Modell bewährt:
- Abweichung exakt beschreiben und betroffene Normanforderung zuordnen.
- Ursachenanalyse durchführen, nicht nur Symptome auflisten.
- Korrekturmaßnahme mit Verantwortlichem, Frist und Nachweis definieren.
- Wirksamkeit prüfen und dokumentieren.
Fristen hängen vom Auditprogramm und der Einstufung ab. In der Praxis werden Minor Findings oft mit Korrekturmaßnahmen und Nachweisen innerhalb weniger Wochen bearbeitet. Major Findings führen häufiger zu engeren Nachweisanforderungen oder zu einem Nachaudit. Entscheidend ist weniger der Kalender als die Substanz: Auditoren wollen sehen, dass das Problem im System gelöst wurde und nicht nur in der Präsentation.
Ein Nachaudit ist kein Sonderfall, sondern ein normaler Teil des Prozesses, wenn wesentliche Punkte offen bleiben. Es konzentriert sich typischerweise auf die strittigen oder unzureichend geschlossenen Findings. Wer bereits im Erst-Audit klare Maßnahmen, nachvollziehbare Verantwortlichkeiten und belastbare Evidenz aufsetzt, reduziert Umfang und Aufwand des Nachaudits erheblich.
Die zentrale Lehre nach dem Audit lautet daher: Schließen Sie Findings nicht administrativ, sondern systemisch. Wenn Sie beispielsweise fehlende Kompetenznachweise als Problem identifizieren, genügt es nicht, zwei Teilnahmebescheinigungen nachzutragen. Sie brauchen dann oft eine sauberere Rollenmatrix, definierte Pflichtschulungen, einen Review-Prozess und einen reproduzierbaren Nachweisablauf. Genau diese Systemperspektive trennt kurzfristige Kosmetik von auditfester Verbesserung.
Häufige Fragen zum ISO 42001 Audit
Wie lange dauert ein ISO 42001 Audit?
Ein ISO 42001 Audit dauert für KMU häufig insgesamt vier bis sieben Tage, aufgeteilt auf Stage 1 und Stage 2. Der tatsächliche Aufwand hängt vor allem vom Scope, der Anzahl der KI-Systeme, der Zahl der Standorte und dem Reifegrad Ihres AIMS ab.
Was passiert bei einem Major Finding?
Ein Major Finding bedeutet, dass eine wesentliche oder systemische Schwäche vorliegt. In der Regel müssen Sie Ursachenanalyse, Korrekturmaßnahme und Wirksamkeitsnachweis fristgerecht liefern; je nach Schwere folgt zusätzlich ein fokussiertes Nachaudit.
Kann man beim Audit durchfallen?
Ja, wenn zentrale Anforderungen des AIMS nicht wirksam erfüllt sind oder wesentliche Nachweise fehlen. Praktisch bedeutet das meist nicht ein endgültiges Scheitern, sondern einen verzögerten Abschluss mit zusätzlichem Korrekturaufwand.
Wie bereite ich Mitarbeitende auf Audit-Interviews vor?
Mitarbeitende sollten ihre Rolle, die relevanten Dokumente, Eskalationswege und Nachweise kennen. Gute Vorbereitung besteht aus kurzen Probeinterviews, realen Beispielen aus dem Alltag und einer sauberen Dokumentenorientierung statt auswendig gelernter Standardsätze.
Welche Dokumente brauche ich mindestens?
Mindestens erforderlich sind Scope, KI-Policy, KI-Inventar, Risikomethodik, SoA, Rollenmodell, Schulungsnachweise, internes Audit, Management Review sowie Nachweise zu Maßnahmen, Änderungen und Vorfällen. Je nach Scope kommen weitere operative Unterlagen hinzu.
Wie läuft ein Audit nach ISO 42001 ab?
Ein Audit nach ISO 42001 läuft in zwei Phasen ab. Stage 1 prüft die Konzeption Ihres AIMS anhand zentraler Dokumente, Stage 2 prüft über Interviews und Stichproben die operative Wirksamkeit im Alltag.
Was sind die häufigsten Audit-Findings bei ISO 42001?
Zu den häufigsten Findings gehören eine fehlende KI-Policy, ein lückenhaftes KI-Inventar, unvollständige SoA-Begründungen, fehlende Kompetenznachweise, schwache Änderungssteuerung und nicht belastbare Management-Reviews.
Wenn Sie Ihr Audit nicht erst kurz vor Stage 1 vorbereiten wollen, starten Sie mit einer klaren Governance-Basis: ISO-42001-Leitfaden, ISO 42001 im Überblick und die ISO-42001-Schulung bilden dafür die sinnvollste Reihenfolge.