Lead Implementer oder Lead Auditor? Welcher ISO-Weg zu dir passt

Seit PECB die Lead-Implementer- und Lead-Auditor-Programme auch für ISO/IEC 42001 anbietet, höre ich eine Frage immer öfter: „Lars, soll ich Implementer oder Auditor werden?" Beide klingen ähnlich, beide sind 5-Tage-Kurse mit echter Personenzertifizierung, aber sie führen in zwei völlig verschiedene Rollen.

Der Unterschied in einem Satz

Der Lead Implementer baut das Managementsystem auf und hält es am Laufen. Der Lead Auditor prüft, ob es funktioniert. Der eine konstruiert, der andere kontrolliert.

Der Implementer ist Architekt und Bauleiter. Der Auditor ist der Prüfstatiker, der am Ende sagt, ob das Gebäude trägt.

Was ein Lead Implementer wirklich macht

Ein Lead Implementer führt ein KI-Managementsystem (AIMS nach ISO/IEC 42001) oder ein Informationssicherheits-Managementsystem (ISMS nach ISO/IEC 27001) von Grund auf ein. Er übersetzt die Anforderungen der Norm in etwas, das im Betrieb tatsächlich funktioniert, nicht in einen Aktenordner.

• Kontext und Anwendungsbereich klären: Was genau soll das Managementsystem abdecken?
• Risiken bewerten und das Statement of Applicability erstellen
• Maßnahmen (Controls) auswählen, gestalten und umsetzen
• Dokumentierte Information, Kommunikation, Kompetenz und Awareness aufbauen
• Den laufenden Betrieb steuern, intern auditieren, kontinuierlich verbessern
• Die Organisation auf das externe Zertifizierungsaudit vorbereiten

PECB lehrt das mit einer eigenen Schritt-für-Schritt-Methodik (IMS2), von der Initiierung bis zur Zertifizierungsreife. Es ist die Rolle für alle, die intern oder als Berater etwas aufbauen wollen.

Was ein Lead Auditor wirklich macht

Ein Lead Auditor bewertet, ob ein bestehendes Managementsystem die Norm erfüllt, nach den Regeln für das Auditieren (ISO 19011:2026) und für Zertifizierungsstellen (ISO/IEC 17021-1). Er plant das Audit, sammelt und verifiziert Nachweise, formuliert Feststellungen, schreibt den Bericht und leitet ein Auditprogramm.

Auditieren heißt prüfen, nicht beraten. Wer ein System aufgebaut hat, darf es nicht selbst extern zertifizieren, genau diese Trennung macht das ganze System glaubwürdig. Der Auditor schaut von außen drauf und sagt, was hält und was nicht.

Welcher Weg passt zu wem?

• Lead Implementer, wenn du etwas BAUEN willst: als Projektleiter, Berater, Mitglied eines AIMS-/ISMS-Teams oder als Verantwortlicher, der die Norm im eigenen Haus umsetzt.
• Lead Auditor, wenn du etwas PRÜFEN willst: als interner Auditor, als Auditor für eine Zertifizierungsstelle oder um Lieferanten und Partner belastbar zu bewerten.

Beide sind echte Personenzertifizierungen nach ISO/IEC 17024, beide dauern 5 Tage (4 Schulungstage plus Prüfungstag) und bringen 31 CPD-Punkte. Kein Weg ist „höher" als der andere, sie zeigen nur in unterschiedliche Richtungen.

Warum beides zusammen am stärksten ist

Die spannendste Variante ist nicht entweder-oder, sondern beides. Wer ein Managementsystem aufbauen UND prüfen kann, versteht beide Seiten des Tisches und das merkt man in jedem Projekt. Diese Doppelqualifikation ist selten.

PECB belohnt sie sogar formal: Wer Lead Implementer und Lead Auditor in einem Schema hält und vier zusätzliche Foundation-Prüfungen ablegt, qualifiziert sich für das PECB-Master-Credential.

Mein eigener Ausgangspunkt war die Auditseite: Senior Lead Auditor ISO/IEC 42001 und Lead Auditor ISO/IEC 27001, aufgebaut auf über 1.200 dokumentierten Audit-Stunden in fünf europäischen Ländern. Wer aus der Umsetzung kommt, geht den umgekehrten Weg und beide treffen sich in der Mitte.

Wie du reinkommst und worauf es wirklich ankommt

Der formale Einstieg ist für beide ähnlich: idealerweise erst der Foundation-Kurs (Grundlagen der Norm), dann der 5-tägige Lead-Kurs mit Prüfung. Für die Personenzertifizierung verlangt PECB zusätzlich Erfahrung, gestaffelt vom Provisional (ohne Erfahrungsnachweis) über Implementer bzw. Auditor bis zum Senior Lead (rund zehn Jahre, etwa 1.000 dokumentierte Stunden).

Das Zertifikat ist die Eintrittskarte. Den Beruf machst du daraus erst mit echten Stunden, beim Implementer sind es Projektstunden, beim Auditor Audit-Stunden.

Konkret: Fang mit dem Kurs an, der zu deiner Richtung passt, und sammle parallel Praxis. Beim Implementer in echten Einführungsprojekten, beim Auditor in internen und Lieferanten-Audits. Beides baut aufeinander auf, und beides lässt sich später kombinieren.