Zum Inhalt
Phishing, um Ärger zu verursachen –
Der IO-Podcast kehrt mit Staffel 2 zurück. Hör jetzt zu
ISMS.online

Checkliste für KI-Audits: Ein praktischer Leitfaden für die Prüfung von KI-Systemen

Eine praxisorientierte Checkliste für KI-Audits, die auf ISO 42001 Abschnitt 9.2 und Anhang A abgestimmt ist. Sie enthält Vorlagen für Anwendungsbereich, Nachweisanforderungen, Testverfahren und Feststellungen, die Sie noch heute durcharbeiten können, um sich auf Zertifizierungs- oder Überwachungsaudits vorzubereiten.

Führen Sie Ihr KI-Audit in ISMS.online durch.

Kontakt
Autorin
Max Edwards
Aktualisiert Mai 8, 2026
4 / 5 Sterne

Was ist ein KI-Audit?

Ein KI-Audit ist eine systematische, unabhängige und dokumentierte Überprüfung der Art und Weise, wie eine Organisation KI-Systeme steuert, entwickelt, einsetzt und nutzt. Im Kontext von ISO 42001 Es handelt sich um den Mechanismus, mit dem Sie überprüfen, ob Ihr KI-Managementsystem (AIMS) dem Standard und Ihren eigenen dokumentierten Anforderungen entspricht und ob es effektiv implementiert und gewartet wird.

KI-Audits unterscheiden sich in drei wesentlichen Punkten von traditionellen Informationssicherheitsaudits. Erstens umfassen sie KI-spezifische Dokumente, die in einem ISO-27001-Programm nicht enthalten sind, wie z. B. Folgenabschätzungen von KI-Systemen, Modellkarten, Herkunftsnachweise für Trainingsdaten und Berichte zur Lebenszyklusvalidierung. Zweitens bewerten sie neben Vertraulichkeit, Integrität und Verfügbarkeit auch ethische und gesellschaftliche Aspekte wie Fairness, Transparenz und Verantwortlichkeit. Drittens verfolgen sie den gesamten Lebenszyklus einzelner KI-Systeme von der Zielsetzung bis zur Stilllegung, anstatt statische Kontrollen isoliert zu prüfen.

Ein KI-Audit kann intern (Erstpartei-Audit), lieferantenbezogen (Zweitpartei-Audit) oder im Rahmen einer Zertifizierung oder Überwachung (Drittpartei-Audit, durchgeführt von einer akkreditierten Stelle) erfolgen. Diese Seite konzentriert sich auf das interne Audit, da die meisten Teams dort täglich arbeiten und eine strukturierte Checkliste den größten Nutzen bringt. Weitere Informationen zum Auditzyklus finden Sie in unserem Leitfaden. ISO 42001-Audit

Warum eine KI-Audit-Checkliste verwenden?

Die Prüfung eines KI-Managementsystems ohne Checkliste führt dazu, dass wichtige Erkenntnisse übersehen, Beweise vergessen und Managementbewertungen in Streitigkeiten über den Umfang ausarten. Eine praktische Checkliste bietet Ihnen vier Dinge:

  • Einheitlicher Geltungsbereich. Bei jeder Prüfung werden die gleichen Bereiche in der gleichen Reihenfolge abgedeckt, sodass ein Vergleich von Jahr zu Jahr aussagekräftig ist und die Überwachungsprüfer ein ausgereiftes Programm vorfinden.
  • Verteidigungsfähige Beweise. Für jeden Kontrollbereich wissen Sie im Voraus, welche Nachweise Sie anfordern müssen. Das bedeutet, dass sich die Geprüften vorbereiten können und Sie Ihre Zeit mit der Bewertung verbringen, anstatt den Nachweisen hinterherzujagen.
  • Reproduzierbare Testverfahren. Ein Rundgang, eine Beweismittelprüfung und ein Stichprobentest liefern Ergebnisse, die ein anderer Prüfer reproduzieren kann. Genau das erwartet ein externer Prüfer.
  • Klare Bestehens- oder Nichtbestehenskriterien. Ohne Kriterien werden Ergebnisse zu Meinungen. Eine Checkliste macht aus jedem Punkt eine Ja/Nein-Frage, die durch Beweise untermauert wird.

Die Checkliste in diesem Leitfaden bezieht sich auf die internen Prüfungsanforderungen gemäß Abschnitt 9.2 und führt durch die neun Punkte. Anhang A-Kontrollen Bereiche (A.2 bis A.10). Es ist so konzipiert, dass es ausgedruckt, durchgearbeitet und dem Prüfbericht beigefügt werden kann, um nachzuweisen, dass die Prüfung geplant und im Rahmen eines definierten Umfangs durchgeführt wurde.

Wie definiert ISO 42001 die Anforderungen an interne Audits?

Abschnitt 9.2 der ISO 42001 verpflichtet Organisationen zur Durchführung interner Audits in geplanten Abständen. Diese Audits dienen dazu, Informationen darüber zu gewinnen, ob das Managementsystem sowohl den organisationsinternen Anforderungen als auch den Anforderungen der Norm entspricht und ob es effektiv implementiert und aufrechterhalten wird. Diese Formulierung ist von Bedeutung. Auditoren prüfen nicht nur das Vorhandensein von Richtlinien, sondern auch die praktische Funktionsfähigkeit des Managementsystems.

Die Klausel verpflichtet Sie außerdem dazu:

  • Planen, erstellen, implementieren und pflegen Sie ein Auditprogramm, einschließlich Häufigkeit, Methoden, Verantwortlichkeiten, Planungsanforderungen und Berichterstattung.
  • Prüfkriterien und Umfang für jede Prüfung festlegen
  • Wählen Sie die Prüfer aus und führen Sie die Prüfungen so durch, dass Objektivität und Unparteilichkeit gewährleistet sind.
  • Die Ergebnisse der Prüfungen sind dem zuständigen Management zu melden.
  • Bewahren Sie dokumentierte Informationen als Nachweis für das Prüfungsprogramm und seine Ergebnisse auf.

Die normativen Umsetzungsrichtlinien in Leitfaden zu Anhang B Dies wird weiter ausgeführt. Durch die Kombination von Klausel 9.2 mit den Kontrollbereichen des Anhangs A ergibt sich die Struktur der untenstehenden Checkliste.

Alles, was Sie zur ISO 42001 brauchen, in ISMS.online

Alles, was Sie für ISO 42001 brauchen

Strukturierte Inhalte, abgebildete Risiken und integrierte Workflows helfen Ihnen, KI verantwortungsvoll und sicher zu verwalten.

Los geht´s

Checkliste für KI-Audits: Die 9 zu behandelnden Bereiche

Anhang A der ISO 42001 ist in neun Kontrollbereiche unterteilt. Die folgende Tabelle fasst die Checklistenpunkte, typischen Nachweise und Prüfverfahren für jeden Bereich zusammen. Nutzen Sie sie als Grundlage für Ihr internes Audit. Für jede Zeile gilt als bestanden, dass die Nachweise verfügbar, aktuell, genehmigt und mit der jeweiligen Kontrollmaßnahme vereinbar sind.

Bereich des Anhangs A Punkte der Checkliste Typische Beweise Testprozedur
A.2 Richtlinien im Zusammenhang mit KI Die KI-Richtlinie existiert und ist genehmigt; sie ist mit den Organisationsrichtlinien abgestimmt; sie wird in festgelegten Abständen überprüft; sie wird den Mitarbeitern mitgeteilt; sie umfasst Ziele für verantwortungsvolle KI. Genehmigte KI-Richtlinie, Prüfprotokoll, Kommunikationsaufzeichnungen, Bestätigungs- oder Attestierungsregister Gemeinsame Durchsicht mit dem Richtlinieninhaber, Genehmigungs- und Überprüfungshistorie, Beispielbestätigungen aus verschiedenen Rollenbereichen
A.3 Interne Organisation KI-Rollen und -Verantwortlichkeiten dokumentiert und zugewiesen; Berichtswege für KI-Belange definiert; Governance-Forum tagt und protokolliert Organigramm, RACI-Matrix für KI-Entscheidungen, Aufgabenbeschreibung für Forum für KI-GovernanceProtokolle von Besprechungen, Meldeprotokoll für Bedenken Interview mit dem Leiter der KI-Governance, Beispielprotokolle der letzten 12 Monate, Nachverfolgung eines gemeldeten Problems bis zum Ende
A.4 Ressourcen für KI-Systeme Ressourcen für KI-Systeme werden identifiziert und dokumentiert (Daten, Werkzeuge, Rechenleistung, menschliche Expertise); ihre Angemessenheit wird überprüft; die Dokumentation wird stets aktuell gehalten. Ressourcenregister, Kompetenznachweise, Werkzeug- und Computerinventar, Ergebnisse der Ressourcenangemessenheitsprüfung Nehmen Sie ein KI-System als Beispiel, verfolgen Sie dessen Ressourcendokumentation, überprüfen Sie, ob Kompetenznachweise für Schlüsselrollen vorhanden sind, und bestätigen Sie die Prüfnachweise.
A.5 Bewertung der Auswirkungen von KI-Systemen Der Prozess der Folgenabschätzung wurde definiert; er wird auf jedes KI-System im Geltungsbereich angewendet; er umfasst Einzelpersonen, Gruppen und die Gesellschaft; er wird dokumentiert und überprüft. Register der Folgenabschätzung von KI-Systemen, abgeschlossene Bewertungen, Prüf- und Genehmigungsprotokolle, Nachweise über Maßnahmen zu wesentlichen Auswirkungen Nehmen Sie zwei KI-Systeme als Beispiel, prüfen Sie deren abgeschlossene Folgenabschätzungen, bestätigen Sie, dass der Geltungsbereich die gesellschaftlichen Auswirkungen abdeckt, und verfolgen Sie alle Maßnahmen bis zum Abschluss.
A.6 Lebenszyklus eines KI-Systems Ziele, Design, Entwicklung, Verifizierung, Validierung, Implementierung, Betrieb, Überwachung und Außerbetriebnahmekontrollen sind vorhanden; Nachweise werden in jeder Phase erfasst Lebenszyklusdokumentation, Konstruktionsunterlagen, Testpläne, Validierungsberichte, Freigaben für die Bereitstellung, Überwachungsprotokolle, Außerbetriebnahmeprotokolle Wählen Sie ein KI-System aus und durchlaufen Sie dessen gesamten Lebenszyklus, wobei Sie die Nachweise in jeder Phase prüfen; bestätigen Sie, dass die Validierung unabhängig von der Entwicklung erfolgte.
A.7 Daten für KI-Systeme Datenerfassung, Qualitätssicherung, Datenaufbereitung und Herkunftskontrollen definiert und angewendet; Datenquellen dokumentiert; Qualität gemessen; Herkunft gesichert Datenquellenverzeichnis, Qualitätskriterien, Aufzeichnungen zur Datenaufbereitung, Herkunftsdokumentation, gegebenenfalls Aufzeichnungen zur Rechtsgrundlage Stichprobenentnahme eines Trainingsdatensatzes für ein System im Untersuchungsbereich, Überprüfung der Herkunft, Verifizierung der durchgeführten und dokumentierten Qualitätsprüfungen
A.8 Informationen für Interessierte Systemdokumentation für Benutzer bereitgestellt; externe Meldeverfahren definiert; Kommunikationspläne für Vorfälle vorhanden Benutzerorientierte Dokumentation, Versionshinweise, externe Meldeprotokolle, Vorlagen für die Störungsmeldung und Protokolle Prüfen Sie die Benutzerdokumentation eines bereitgestellten Systems, stichprobenartig alle Vorfallsmeldungen, und vergewissern Sie sich, dass die externen Meldepflichten erfüllt werden.
A.9 Einsatz von KI-Systemen Prozesse für die verantwortungsvolle Nutzung definiert; Zweckbestimmung dokumentiert; Nutzungsziele überprüft; Nutzung außerhalb des Geltungsbereichs verhindert oder aufgedeckt Anwendungsfallregister, Zweckbestimmungserklärungen, Richtlinie zur akzeptablen Nutzung, Überwachungsprotokolle, Prüfergebnisse Anhand zweier Anwendungsfälle die tatsächliche Nutzung mit der beabsichtigten Nutzung vergleichen, die Überwachung prüfen und die Nachweise auswerten.
A.10 Beziehungen zu Dritten und Kunden Lieferanten von KI-Systemen und -Komponenten bewertet; Verantwortlichkeiten zwischen den Parteien aufgeteilt; Kundenverpflichtungen dokumentiert Lieferantenregister mit KI-spezifischer Sorgfaltsprüfung, Verträgen, Verantwortlichkeitsmatrix, Dokumentation der kundenbezogenen Verpflichtungen Wählen Sie zwei KI-Anbieter aus, prüfen Sie deren Sorgfaltsprüfungsunterlagen und Verträge und vergewissern Sie sich, dass die Verantwortlichkeiten schriftlich klar geregelt sind.

A.2 Richtlinien im Zusammenhang mit KI

Beginnen Sie an der Spitze des Unternehmens. Stellen Sie sicher, dass eine KI-Richtlinie existiert, auf der richtigen Ebene genehmigt wurde, in einem festgelegten Rhythmus überprüft wird und von den Mitarbeitern in den relevanten Funktionen kommuniziert und zur Kenntnis genommen wird. Die Richtlinie sollte die Richtung vorgeben für verantwortliche KI und sollte mit anderen Organisationsrichtlinien, insbesondere Informationssicherheit und Datenschutz, übereinstimmen. Häufige Feststellungen beziehen sich auf überfällige Überprüfungen, unvollständige Bestätigungsprotokolle oder das Fehlen von Regelungen in den Richtlinien zu wichtigen Bereichen wie beispielsweise … Drittanbieter-KI Werkzeuge.

A.3 Interne Organisation

Überprüfen Sie die Governance-Struktur. Wer ist für KI-Entscheidungen verantwortlich? Wo werden Bedenken hinsichtlich KI gemeldet und wie werden diese priorisiert? Gibt es ein Governance-Gremium mit klaren Richtlinien und einem beschlussfähigen Quorum? Prüfen Sie beispielhafte Sitzungsprotokolle auf inhaltliche Relevanz, nicht nur auf Anwesenheitslisten. Häufig findet man eine umfangreiche RACI-Matrix, die sich nicht in der tatsächlichen Entscheidungsfindung widerspiegelt. Dies lässt sich leicht erkennen, indem man eine reale Entscheidung von Anfang bis Ende nachverfolgt.

A.4 Ressourcen für KI-Systeme

Stellen Sie sicher, dass die für die Entwicklung, den Betrieb und die Steuerung von KI-Systemen benötigten Ressourcen identifiziert, dokumentiert und ausreichend sind. Zu diesen Ressourcen gehören Daten, Werkzeuge, IT-Infrastruktur und menschliches Fachwissen. Die Kompetenz ist oft der schwächste Punkt. Achten Sie auf rollenspezifische Kompetenzkriterien und Nachweise, dass die Personen in diesen Rollen diese erfüllen, anstatt auf allgemeine Schulungsnachweise.

A.5 Bewertung der Auswirkungen von KI-Systemen

Folgenabschätzungen von KI-Systemen gehören zu den Kernmerkmalen der ISO 42001 und liefern regelmäßig wichtige Erkenntnisse. Die Abschätzung sollte die Auswirkungen auf Einzelpersonen, Gruppen und die Gesellschaft umfassen und vor der Implementierung abgeschlossen sowie bei Änderungen überprüft werden. Weitere Informationen finden Sie in unserem ausführlicheren Leitfaden. KI-Folgenabschätzungen Zur Veranschaulichung werden zwei KI-Systeme im Anwendungsbereich betrachtet und der gesamte Prozess der Folgenabschätzung bis zur Genehmigung und zum Projektabschluss nachverfolgt.

A.6 Lebenszyklus eines KI-Systems

Dies ist der größte Kontrollbereich und belohnt eine detaillierte Lebenszyklusanalyse. Wählen Sie ein KI-System aus der Produktion und verfolgen Sie dessen Entwicklung von der Zielsetzung über Design, Entwicklung, Verifizierung, Validierung, Bereitstellung, Betrieb und Überwachung bis hin zur Außerbetriebnahme. Der entscheidende Test besteht darin, ob die Validierung unabhängig von der Entwicklung erfolgte und ob die Überwachung Abweichungen, Vorfälle oder nicht bestimmungsgemäße Nutzung festgestellt hat. Lebenszyklus eines KI-Systems Die Anleitung enthält die vollständige Liste der Steuerungsmöglichkeiten.

A.7 Daten für KI-Systeme

Daten sind der Schlüssel zum Erfolg oder Misserfolg von KI-Systemen. Prüfen Sie daher die Datenerfassung, -qualität, -aufbereitung und -herkunftskontrollen. Nehmen Sie Stichproben aus einem Trainingsdatensatz und vergewissern Sie sich, dass dessen Quellen, Lizenzen, Qualitätsprüfungen und die Rechtsgrundlage (bei personenbezogenen Daten) dokumentiert sind. Rechnen Sie bei älteren Systemen mit Problemen hinsichtlich der Datenherkunft und damit, dass die Datenqualitätsmessung informell statt dokumentiert erfolgt.

A.8 Informationen für Interessierte

Stellen Sie sicher, dass Nutzer, Kunden, Aufsichtsbehörden und andere Interessengruppen die benötigten Informationen erhalten. Dies umfasst die Systemdokumentation bei der Bereitstellung, die Kommunikation im Falle eines Vorfalls sowie alle externen Meldepflichten. Untersuchen Sie stichprobenartig einen kürzlich aufgetretenen Vorfall oder eine wesentliche Änderung und prüfen Sie die darauf folgende Kommunikation.

A.9 Einsatz von KI-Systemen

Der vorgesehene Einsatz jedes KI-Systems sollte dokumentiert und die tatsächliche Nutzung anhand dieser Dokumentation überwacht werden. Sowohl Organisationen, die ausschließlich KI entwickeln, als auch solche, die ausschließlich KI von Drittanbietern einsetzen, benötigen diesen Kontrollbereich. Anhand zweier Anwendungsfälle sollte die tatsächliche mit der vorgesehenen Nutzung verglichen und die Überwachung zur Erkennung von Abweichungen geprüft werden.

A.10 Beziehungen zu Dritten und Kunden

Prüfen Sie, wie KI-Lieferanten bewertet werden, wie die Verantwortlichkeiten zwischen Ihnen und ihnen aufgeteilt sind und wie die Kundenpflichten dokumentiert werden. Vergewissern Sie sich insbesondere bei Anbietern von Basismodellen und KI-APIs, dass die Sorgfaltsprüfung die Modellherkunft, Evaluierungsdaten und Verpflichtungen zur Meldung von Vorfällen erfasst hat. Häufig beziehen sich die Ergebnisse auf Verträge, die vor dem KI-Programm geschlossen wurden und nicht aktualisiert wurden, um die zugewiesenen Verantwortlichkeiten widerzuspiegeln.

ISO 42001 KI-Audit-Checkliste, die alle neun Kontrollbereiche des Anhangs A von A.2 Richtlinien bis A.10 Dritte abdeckt, mit dem Auditschwerpunkt für jeden Bereich während eines internen Audits gemäß Abschnitt 9.2

Welche Nachweise sollten Sie bei einem KI-Audit sammeln?

Beweise sind das, was aus einer Meinung einen Feststellungsbefund macht. Sammeln Sie für jeden Punkt der Checkliste mindestens einen der folgenden Nachweise und fügen Sie ihn den Prüfungsunterlagen bei:

  • Dokumentarischer Beweis. Richtlinien, Verfahren, Register, Beurteilungsunterlagen, Sitzungsprotokolle, Genehmigungsunterlagen und Schulungsnachweise.
  • Systemgenerierte Beweise. Zugriffsprotokolle, Überwachungsausgaben, Dashboards zur Modellleistung, Drift-Erkennungswarnungen und Störungsmeldungen.
  • Interviewnotizen. Begehungen mit Verantwortlichen für die Kontrollmechanismen, Mitgliedern des Governance-Forums, Datenwissenschaftlern und Produktmanagern, wobei Datum, Teilnehmer und wichtige Punkte festgehalten werden.
  • Beobachtungsbefunde. Screenshots, Bildschirmaufnahmen oder kommentierte Auszüge, die die Funktionsweise des Steuerelements zeigen, beispielsweise einen Genehmigungsworkflow, der eine nicht genehmigte Änderung ablehnt.
  • Beispielhafte Testergebnisse. Wenn Sie eine Stichprobe getestet haben (z. B. zehn von fünfzehn KI-Systemauswirkungsanalysen), notieren Sie die Stichprobengröße, die Auswahlmethode und das Ergebnis (bestanden/nicht bestanden) pro Item.

Verknüpfen Sie jedes Beweisstück mit der zugehörigen Kontrollmaßnahme und dem daraus resultierenden Prüfungsergebnis (oder dessen Fehlen). Diese Rückverfolgbarkeit ist genau das, was ein externer Prüfer in Ihren Unterlagen sehen möchte und einer der häufigsten Fehler bei papierbasierten Prüfungen. Einen vollständigen Überblick über die schriftlichen Anforderungen der Norm finden Sie in unserem Leitfaden. Dokumentation, die gemäß ISO 42001 erforderlich ist.

Das leistungsstarke Dashboard von ISMS.online

Starten Sie Ihre kostenlose Testversion

Möchten Sie erkunden?

Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat

Los geht´s

Wie dokumentiert man Ergebnisse und Korrekturmaßnahmen?

Ein Befund ist eine dokumentierte, durch Beweise gestützte Tatsachenbehauptung, die anhand eines Kriteriums bewertet wird. Ein guter Befund besteht aus vier Teilen: Bedingung (was beobachtet wurde), Kriterium (was erforderlich war, z. B. die Klausel oder Kontrollmaßnahme), Ursache (warum es geschah) und Konsequenz (was dies für die Ziele bedeutet). Befunde werden dann typischerweise wie folgt klassifiziert:

  • Schwerwiegender Verstoß gegen die Bauordnung. Ein vollständiger Ausfall einer erforderlichen Kontrollmaßnahme oder mehrere zusammenhängende kleinere Abweichungen, die auf ein systemisches Problem hinweisen, führen zur Verhinderung der Zertifizierung, wenn sie von einem externen Auditor festgestellt werden.
  • Geringfügige Abweichung. Ein einzelner Fehler in einer ansonsten funktionierenden Kontrollmaßnahme. Muss behoben werden, verhindert aber selten die Zertifizierung.
  • Beobachtung oder Verbesserungsmöglichkeit. Kein Verstoß gegen die Vorschriften, aber etwas, das man ansprechen sollte, bevor es zu einer Feststellung wird.

Jede Abweichung sollte eine Korrekturmaßnahme gemäß Klausel 10 auslösen. Dies umfasst die Behebung der Abweichung, die Ermittlung der Ursache, die Prüfung, ob ähnliche Probleme an anderer Stelle vorliegen, die Umsetzung der Maßnahme, die Überprüfung ihrer Wirksamkeit und die Aufbewahrung der dokumentierten Informationen. Die Aufzeichnungen zu den Korrekturmaßnahmen sollten auf die Prüfungsfeststellung verweisen und alle Aktualisierungen von Risiken, Kontrollen, Richtlinien oder anderen relevanten Informationen berücksichtigen. Erklärung zur Anwendbarkeit.

Eine hilfreiche Vorlage für Prüfungsergebnisse enthält Spalten für: Feststellungs-ID, Prüfreferenz, Anlage-A-Kontrolle oder -Klausel, Bedingung, Kriterium, Ursache, Folge, Klassifizierung, Verantwortlicher, Fälligkeitsdatum, Korrekturmaßnahme, Wirksamkeitsnachweis und Abschlussdatum. Fügen Sie diese Vorlage Ihren Arbeitspapieren hinzu oder, noch besser, nutzen Sie eine Plattform, die die Nachverfolgung für Sie übernimmt.

Wie ISMS.online KI-Audits vereinfacht

ISMS.online Bietet Ihnen die Audit-Checkliste, die Beweismittelbibliothek, die Ergebnisverfolgung und den Workflow für Korrekturmaßnahmen an einem Ort, vorab auf ISO 42001 abgestimmt.

  • Vorgefertigtes Auditprogramm. Interne Prüfungspläne, die auf Klausel 9.2 abgestimmt sind und Prüfungszeitpläne, Umfangsdefinition und Prüferzuweisung beinhalten.
  • Checklistenvorlagen pro Anhang A-Bereich. Jeder Punkt der Checkliste ist bereits der entsprechenden Kontrollmaßnahme zugeordnet, sodass die Prüfer ihre Zeit mit der Bewertung verbringen, anstatt Vorlagen zu schreiben.
  • Verknüpfte Evidenz auf Kontrollebene. Die im Rahmen der Kontrollen gemäß Anhang A erfassten Nachweise sind direkt in der Audit-Checkliste sichtbar, wodurch die mühsame Suche entfällt.
  • Befunde und Korrekturmaßnahmen in einem Arbeitsablauf. Bei der Prüfung festgestellten Abweichungen werden automatisch Korrekturmaßnahmen mit Verantwortlichen, Fälligkeitsterminen, Überprüfungsschritten und einer Nachverfolgung des Abschlusses gemäß Klausel 10 ausgelöst.
  • Die Eingaben für die Managementbewertung werden automatisch generiert. Die Ergebnisse der Audits, festgestellte Abweichungen und die daraus resultierenden Maßnahmen fließen direkt in das Management-Review-Paket gemäß Klausel 9.3 ein.
  • Wiederverwendung nach verschiedenen Standards. Die für interne Audits nach ISO 27001 gesammelten Nachweise können für die entsprechenden Kontrollen nach ISO 42001 wiederverwendet werden, da sie alle auf derselben Plattform gespeichert sind.

Das Ergebnis ist, dass ein Audit, das sonst zwei Wochen lang Tabellenkalkulationen und E-Mails bearbeitet hätte, nun als verwalteter Workflow innerhalb eines einzigen Tools abläuft, wobei die Nachweiskette für Ihren externen Prüfer bereitsteht.

Warum sollten Sie ISMS.online für KI-Auditmanagement wählen?

ISMS.online wurde von Grund auf für ISO 42001 entwickelt und umfasst den gesamten internen Auditzyklus. Folgendes erhalten Sie, wenn Sie KI-Audits auf der Plattform durchführen:

  • Eine sofort einsatzbereite Checkliste für KI-Audits. Vorab zugeordnet gemäß Klausel 9.2 und jedem Kontrollbereich des Anhangs A, sodass Ihre erste Prüfung nicht mit einer leeren Vorlage beginnt.
  • Integrierte Evidenzbibliothek. Richtlinien, Risiken, Folgenabschätzungen und Kontrollnachweise sind mit den Kontrollen verknüpft, die sie unterstützen, sodass Prüfer einen Eintrag öffnen und den Nachweis sehen können.
  • Ergebnisse und Maßnahmen an einem Ort. Bei der Prüfung festgestellten Abweichungen werden Korrekturmaßnahmen mit Verantwortlichen, Fälligkeitsterminen und Wirksamkeitsprüfungen gemäß Klausel 10 ausgelöst.
  • Bereit für die Managementprüfung. Die Ergebnisse der Audits, die festgestellten Abweichungen und die Korrekturmaßnahmen fließen direkt in das Management-Review-Paket gemäß Klausel 9.3 ein, wodurch die Datenerhebung am Jahresende entfällt.
  • Entspricht ISO 27001. Ein einziges Auditprogramm, das ISO 42001 und ISO 27001 abdeckt und einen einzigen Nachweissatz, ein einziges Risikoregister und einen einzigen Anwendbarkeitserklärungsgenerator verwendet.
  • Methode mit gesicherten Ergebnissen. Ein bewährter Implementierungs- und Prüfansatz, der Hunderten von Organisationen geholfen hat, die Zertifizierung beim ersten Mal zu erreichen, mit durchgehender persönlicher Unterstützung.

Ob Sie Ihr erstes internes Audit durchführen, sich auf ein Zertifizierungsaudit der Stufe 2 vorbereiten oder die jährliche Überwachung managen, ISMS.online Sorgt dafür, dass das Programm strukturiert bleibt und die Beweisführung nachvollziehbar ist. Für eine umfassendere Bereitschaftsprüfung führen Sie Folgendes durch: Lückenanalyse entweder zuerst oder arbeiten Sie sich durch unser komplettes Angebot Checkliste zur Einhaltung der ISO 42001-Norm.

Bereit, die Plattform in Aktion zu sehen? Kontakt um zu sehen wie ISMS.online kann Ihr KI-Auditprogramm unterstützen.

FAQs

Was ist eine Checkliste für ein KI-Audit?

Eine Checkliste für KI-Audits ist eine strukturierte Liste von Punkten, die ein interner Auditor abarbeitet, um zu beurteilen, ob das KI-Managementsystem einer Organisation der ISO 42001 entspricht und effektiv implementiert ist. Eine gute Checkliste deckt die Auditanforderungen von Abschnitt 9.2 sowie alle neun Kontrollbereiche des Anhangs A (A.2 bis A.10) ab. Für jeden Punkt sind die erwarteten Nachweise und Testverfahren definiert, sodass die Ergebnisse konsistent und nachvollziehbar sind.

Wie oft sollte ich eine interne KI-Prüfung durchführen?

ISO 42001 Abschnitt 9.2 fordert interne Audits in geplanten Abständen, ohne jedoch eine bestimmte Häufigkeit vorzuschreiben. In der Praxis führen die meisten Organisationen jährlich ein umfassendes KI-Managementsystem-Audit (AIMS) durch und ergänzen dies mindestens alle sechs Monate durch gezielte Audits von KI-Systemen oder Kontrollbereichen mit höherem Risiko. Die Audithäufigkeit sollte risikobasiert sein; so erfordert beispielsweise ein produktiv eingesetztes generatives KI-System mit hohem Einfluss häufigere Überprüfungen als ein internes Produktivitätstool.

Wer kann ein internes Audit nach ISO 42001 durchführen?

Interne Prüfer müssen objektiv und unparteiisch sein, was bedeutet, dass sie keine Arbeiten prüfen dürfen, für die sie selbst verantwortlich sind. Viele Organisationen setzen daher eine Kombination aus geschulten internen Mitarbeitern außerhalb des KI-Bereichs, einem zentralen Prüfungsteam oder einem unabhängigen Dritten ein, der als Erstparteienprüfer im Auftrag der Organisation fungiert. Entscheidend ist, dass der Prüfer kompetent ist, KI-spezifische Kontrollen zu beurteilen und keine Interessenkonflikte in Bezug auf die zu prüfenden Bereiche aufweist.

Worin besteht der Unterschied zwischen einem KI-Audit und einer KI-Folgenabschätzung?

Eine Folgenabschätzung für KI-Systeme (Anhang A.5) bewertet die potenziellen Auswirkungen eines KI-Systems auf Einzelpersonen, Gruppen und die Gesellschaft vor der Implementierung und im Falle von Änderungen. Ein KI-Audit (Abschnitt 9.2) prüft, ob das Managementsystem für KI, einschließlich des Folgenabschätzungsprozesses selbst, den Anforderungen entspricht und in der Praxis funktioniert. Ein Audit stichprobenartig Folgenabschätzungen als Nachweis heranzieht, umfasst aber auch Richtlinien, Lebenszykluskontrollen, Daten-Governance, Lieferanten und alle anderen Bereiche des KI-Managementsystems.

Muss die interne Revision jedes KI-System jedes Mal abdecken?

Nein. Das Auditprogramm sollte sicherstellen, dass innerhalb eines definierten Zyklus (typischerweise ein bis drei Jahre) alle Teile des AIMS und alle relevanten KI-Systeme geprüft werden. Einzelne Audits können sich jedoch auf eine Teilmenge beschränken. In den meisten Organisationen werden die KI-Systeme im Rahmen des jährlichen Audits stichprobenartig nach Risiko und Wesentlichkeit geprüft. So werden die Systeme mit dem größten Einfluss am häufigsten und die mit geringerem Risiko im Rotationsverfahren geprüft. Das Auditprogramm selbst dient als dokumentierter Nachweis für diesen Plan.

Wie hängen die Ergebnisse von KI-Audits mit Korrekturmaßnahmen zusammen?

Jede im Rahmen eines Audits festgestellte Abweichung sollte eine Korrekturmaßnahme gemäß Klausel 10 auslösen. Dies bedeutet, das Problem zu beheben, die Ursache zu ermitteln, zu prüfen, ob dasselbe Problem auch an anderer Stelle auftritt, die Maßnahme umzusetzen, die Wirksamkeit zu überprüfen und die dokumentierten Informationen aufzubewahren. ISMS.onlineDie im Rahmen des Audits festgestellten Mängel führen automatisch zur Auslösung von Korrekturmaßnahmen mit Verantwortlichen und Fälligkeitsterminen. Die Überprüfung der Wirksamkeit wird bis zum Abschluss verfolgt, sodass nichts verloren geht.

Kann ein und dasselbe Audit sowohl ISO 42001 als auch ISO 27001 abdecken?

Ja. Beide Normen folgen der übergeordneten Struktur von Anhang SL und enthalten gemeinsame Klauseln zu Führung, Planung, Unterstützung, Betrieb, Evaluierung und Verbesserung. Anhang D der ISO 42001 bietet eine explizite Zuordnung zur ISO 27001. Ein kombiniertes Auditprogramm ist effizienter, vermeidet doppelte Nachweiserhebung und wird durch Multistandard-Plattformen wie beispielsweise unterstützt. ISMS.online die ein einheitliches Risikoregister, eine einheitliche Beweismittelbibliothek und einen einheitlichen Prüfablauf für beide Standards verwenden.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.