Beratung, internes Audit, Third-Party-Audit: Wer prüft was?

„Berater, Auditor, Zertifizierer, ist das nicht alles dasselbe?" Diese Frage höre ich im Mittelstand jede Woche. Und jedes Mal wird mir kurz heiß. Denn dahinter steckt nicht nur Begriffsverwirrung, sondern eine Falle, die echtes Geld kosten kann: Wer Beratung, internes Audit und akkreditiertes Third-Party-Audit in einen Topf wirft, holt sich die falsche Leistung zum falschen Preis ins Haus und wundert sich später, warum das Zertifikat nicht durchkommt oder die Aufsicht Rückfragen stellt.

Hand aufs Herz: Die drei Audit-Rollen unterscheiden sich nicht in einer Nuance. Sie unterscheiden sich im Auftrag, in der Verantwortung, in der Unabhängigkeit und in dem, was am Ende rechtsfest ist. Ich erkläre das hier so, wie ich es einem Geschäftsführer am Küchentisch erklären würde, der gerade ein Angebot für ein „KI-Audit" auf dem Tisch hat und nicht weiß, ob er kaufen soll.

Drei Aufträge, drei Verantwortungen

Bevor wir über Preise oder Anbieter reden, müssen wir den Auftrag sauber sortieren. Denn jede der drei Rollen hat ein eigenes Ziel. Wer das verwechselt, kauft die teuerste Leistung mit dem geringsten Nutzen ein.

1. Beratung (Consulting / Implementer)

Der Berater baut mit. Er hilft Ihnen, das Managementsystem nach ISO 42001 oder ISO 27001 aufzubauen, schreibt mit Ihnen Richtlinien, definiert Rollen, schult Mitarbeiter, macht Risikoanalysen und schließt Lücken. Er ist parteiisch, auf Ihrer Seite. Das ist nicht negativ gemeint, im Gegenteil: Ein guter Berater hat das Ziel, dass Sie zertifizierungsreif werden. Punkt.

Was Beratung nicht ist: ein unabhängiges Urteil. Wer das eigene System aufbaut, kann es nicht objektiv prüfen. Das ist keine Frage der Moral, sondern der menschlichen Logik, niemand findet die eigenen blinden Flecken zuverlässig. Genau deshalb ist Beratung von Zertifizierung getrennt.

Ein Berater ist wie ein Architekt. Er baut Ihnen ein gutes Haus. Aber er ist nicht der Bausachverständige, der am Ende die Abnahme macht.

2. Internes Audit (First-Party-Audit)

Das interne Audit prüft Ihr eigenes Managementsystem, durchgeführt von Ihnen, im Auftrag der Geschäftsleitung. Es ist Pflicht: ISO 42001 verlangt es genauso wie ISO 27001 und ISO 9001. Ohne internes Audit kein Zertifikat, weil die Norm explizit nachweisbare Selbstprüfung fordert.

Internes Audit kann gemacht werden von:

• Eigenen Mitarbeitern mit Auditor-Qualifikation und ausreichender Unabhängigkeit vom geprüften Bereich (kein eigener Bereich auditieren!).
• Externen Auditoren, die als Dienstleister einspringen, wenn das interne Know-how fehlt, das ist legitim und sehr verbreitet im Mittelstand.

Was internes Audit nicht ist: ein akkreditiertes Zertifikat. Es ist ein Pflicht-Schritt im PDCA-Zyklus Ihres Managementsystems, kein Marktnachweis nach außen. Aber: Wer hier ehrlich auditiert, geht entspannt ins Stage-2-Audit der Zertifizierungsstelle. Wer hier schlampt, baut das Risiko mit hinein.

3. Third-Party-Audit (akkreditiertes Zertifizierungs-Audit)

Das Third-Party-Audit wird von einer akkreditierten Zertifizierungsstelle durchgeführt, in Deutschland überwacht durch die DAkkS. Nur diese Stelle darf ein akkreditiertes Zertifikat ausstellen. Das ist die Form, die Kunden, Behörden und Aufsicht als Nachweis akzeptieren.

Diese Stelle ist unabhängig, an die ISO/IEC 17021 gebunden und prüft nach einem klar dokumentierten Verfahren in zwei Stufen (Stage 1: Dokumentenprüfung; Stage 2: Vor-Ort-Audit). Der Auditor der Zertifizierungsstelle darf weder Sie beraten haben, noch Ihr System aufgebaut haben, noch wirtschaftlich von Ihnen abhängig sein.

Ich selbst arbeite als Senior Lead Auditor ISO/IEC 42001 und Lead Auditor ISO/IEC 27001 (PECB), auch im Auftrag von Zertifizierungsstellen, wenn diese mich als externen Auditor beauftragen. Über 1.200 dokumentierte Auditstunden in fünf europäischen Ländern, Niederlande, Schottland, Kroatien, Serbien, Türkiye und in fünf verschiedenen Branchen von Luftfahrt bis Präzisionstechnik. Aber: Beratung und akkreditiertes Zertifizierungs-Audit darf ich nicht beim selben Mandanten machen. Niemals.

Zwischenruf: Wo passt Second-Party rein?

Manchmal taucht der Begriff Second-Party-Audit auf. Das ist das Lieferanten-Audit: Sie prüfen einen Lieferanten in Ihrem Auftrag, nicht akkreditiert, sondern als Kunde gegenüber dem Anbieter. Wichtig: Das ist kein Ersatz für eine ISO-Zertifizierung. Aber es ist die Form, in der ich oft tätig bin, wenn ein Unternehmen mich beauftragt, einen seiner KI-Dienstleister oder Subunternehmer zu auditieren.

Wann brauche ich was?

Hier die Entscheidungs-Logik aus meiner Praxis. Sie ist nicht akademisch, sie ist aus Mandaten gewachsen.

• Sie wollen ISO 42001 aufbauen, haben aber noch kein Managementsystem? → Beratung / Gap-Analyse / Implementierungsbegleitung. Erst System bauen, dann auditieren.
• Sie haben das System gebaut und wollen vor dem Zertifizierungs-Audit wissen, wo es noch hakt? → Internes Audit durch einen externen Auditor (jemand, der nicht beim Aufbau dabei war). Realitäts-Check vor Stage 2.
• Sie wollen das akkreditierte Zertifikat? → Third-Party-Audit über eine akkreditierte Zertifizierungsstelle. Punkt. Kein Berater darf das ausstellen.
• Sie wollen einen KI-Lieferanten überprüfen, mit dem Sie zusammenarbeiten? → Second-Party-Audit. Lässt sich gut mit Vertraulichkeitsvereinbarung kombinieren.
• Sie sind bereits zertifiziert und brauchen die jährliche Überwachung? → Surveillance-Audit, wieder durch dieselbe Zertifizierungsstelle (Re-Zertifizierung alle drei Jahre).

Die Vermischungs-Falle: Warum es brennt, wenn Rollen sich kreuzen

Im Markt gibt es Anbieter, die alles in einer Hand anbieten: Beratung plus Audit plus „Zertifikat". Das klingt bequem. Es ist aber rechtlich und sachlich problematisch. Gründe:

• Unabhängigkeit nach ISO/IEC 17021: Eine akkreditierte Zertifizierungsstelle darf weder beraten noch implementieren, sonst verliert sie ihre Akkreditierung.
• Glaubwürdigkeit am Markt: Kunden und Aufsichtsbehörden erkennen sehr gut, ob ein Zertifikat von einer akkreditierten Stelle stammt oder von einem Berater, der sich ein eigenes Logo gebastelt hat.
• Haftung im Streitfall: Wenn etwas schiefgeht (Datenschutz-Verstoß, KI-Bias-Vorfall, Aufsichts-Verfahren), prüft die Behörde, wer welches Audit zu welchem Zweck durchgeführt hat. Vermischte Rollen schwächen Ihre Verteidigungsposition.

Mein Test, wenn mir ein Mandant ein „KI-Audit-Paket" eines Anbieters auf den Tisch legt: Frage ich, wer das Zertifikat ausstellt. Wenn die Antwort lautet „wir selbst", Finger weg. Wenn die Antwort lautet „über eine akkreditierte Stelle wie TÜV, DEKRA, DQS oder eine ähnliche", dann kann ich genauer hinschauen.

Was ich selbst nicht mache und warum das ein Qualitätsmerkmal ist

Klare Ansage von meiner Seite: Ich bin Auditor und Berater. Ich kann interne Audits durchführen, Gap-Analysen, Implementierungsbegleitung, Lieferanten-Audits. Ich kann auch als externer Auditor für akkreditierte Zertifizierungsstellen arbeiten, als Subunternehmer im Mandat.

Was ich nicht mache: ein „eigenes Zertifikat" ausstellen. Das wäre wertlos, würde meine Brand zerstören und wäre in der Vermarktung gegenüber Behörden und Auftraggebern irreführend. „Der KI-Auditor" ist eine Marke der FERNAU Präzisionstechnik GmbH, nicht eine Zertifizierungsstelle. Diese Trennung ist bewusst. Sie ist mein Qualitätsmerkmal.

Wer dir sagt, er sei Berater, Auditor und Zertifizierer in einem, hat das System nicht verstanden. Oder er hofft, dass du es nicht verstehst.

Die zwei Regeln, die jeder Geschäftsführer kennen sollte

Wenn Sie sich nur zwei Dinge merken:

• Regel 1: Wer Sie aufbaut, darf Sie nicht zertifizieren. Beratung und akkreditierte Zertifizierung sind getrennt, per Norm, per Akkreditierungsregel, per gesundem Menschenverstand.
• Regel 2: Nur akkreditierte Zertifizierungsstellen stellen akkreditierte Zertifikate aus. Alles andere ist eine Bestätigung, aber kein Marktnachweis im Sinne der Norm.

Mit diesen zwei Regeln in der Tasche bewerten Sie jedes Audit-Angebot in 30 Sekunden. Und Sie sparen sich teure Fehlkäufe, nicht nur in Euro, sondern in Vertrauen gegenüber Kunden und Aufsicht.