Wie läuft ein externes Zertifizierungsaudit ab? Stage 1 und Stage 2
Vom Vertrag mit der Zertifizierungsstelle bis zum Zertifikat: Wie das zweistufige Zertifizierungsaudit (Stage 1 und Stage 2) abläuft, was geprüft wird und wer am Ende entscheidet.
Wer eine ISO-Zertifizierung anstrebt, durchläuft ein klar geregeltes, zweistufiges Verfahren bei einer akkreditierten Zertifizierungsstelle. Wer den Ablauf kennt, geht ohne Überraschungen hinein – und das ist der halbe Erfolg.
Vorab: Angebot und Vertrag
Sie schließen einen Vertrag mit einer Zertifizierungsstelle. Diese plant das Audit auf Basis Ihres Anwendungsbereichs, der Mitarbeiterzahl und der Komplexität – daraus ergibt sich die Zahl der Audittage. Wichtig: Eine Stelle, die Sie zertifiziert, darf Sie aus Unabhängigkeitsgründen nicht zugleich beraten.
Stage 1 – die Bereitschaftsprüfung
In der ersten Stufe prüft der Auditor vor allem Ihre Dokumentation und Ihre grundsätzliche Audit-Reife: Gibt es Leitlinie, Anwendungsbereich, Risikobeurteilung, die Kernverfahren und – je nach Norm – Nachweise wie ein Statement of Applicability? Stage 1 dient dazu, Lücken früh zu erkennen, den Stage-2-Termin zu planen und Überraschungen zu vermeiden.
- Prüfung der dokumentierten Information und des Anwendungsbereichs
- Bewertung, ob internes Audit und Managementbewertung durchgeführt wurden
- Klärung von Standorten, Schlüsselprozessen und offenen Punkten
- Ergebnis: Bereitschaft für Stage 2 – oder eine Liste zu schließender Lücken
Stage 2 – das Vor-Ort-Audit
In der zweiten Stufe geht es um die Wirksamkeit: Wird das, was auf dem Papier steht, auch gelebt? Der Auditor sammelt vor Ort (oder remote) Nachweise – durch Befragungen, Beobachtung und Einsicht in Aufzeichnungen. Geprüft wird die gesamte Norm, mit risikoorientierten Schwerpunkten.
Ein typischer Ablauf: Eröffnungsgespräch, Audit der Führung und der Kernprozesse entlang der Normkapitel, fortlaufende Notiz von Feststellungen, am Ende ein Abschlussgespräch mit Vorstellung der Ergebnisse.
Feststellungen, Maßnahmen, Entscheidung
Nichtkonformitäten müssen Sie mit Korrekturmaßnahmen und einer Ursachenanalyse beantworten; bei schweren Abweichungen ist ein Nachweis vor der Zertifikatserteilung nötig. Die eigentliche Zertifizierungsentscheidung trifft anschließend eine vom Auditteam unabhängige Stelle innerhalb der Zertifizierungsstelle – nicht der Auditor selbst.
Das Zertifikat gilt in der Regel drei Jahre – aber nur, wenn die jährlichen Überwachungsaudits bestätigen, dass das System weiter gelebt wird.
Die Rolle der Vorbereitung
Genau hier liegt der Hebel: Wer vor dem externen Audit eine ehrliche Gap-Analyse und ein internes Audit „wie die Zertifizierungsstelle“ durchläuft, kennt seine Schwachstellen vorher. Das externe Audit wird dann zur Bestätigung – nicht zum Risiko.
Häufige Fragen
Warum zwei Stufen?+
Stage 1 prüft die Dokumentation und Bereitschaft, Stage 2 die gelebte Wirksamkeit vor Ort. So werden Lücken früh erkannt, bevor das eigentliche Audit stattfindet.
Wer stellt das Zertifikat aus?+
Eine akkreditierte Zertifizierungsstelle. Die Entscheidung trifft eine vom Auditteam unabhängige Instanz – nicht der Auditor, der vor Ort war.
Wie lange gilt ein Zertifikat?+
In der Regel drei Jahre, mit jährlichen Überwachungsaudits und einer Re-Zertifizierung am Ende des Zyklus.
Autor & fachliche Prüfung: Lars Zimmermann · ISO/IEC 42001 Senior Lead Auditor (PECB)
Stand: 26. Mai 2026. Inhalt nach bestem Wissen recherchiert und fachlich geprüft; ersetzt keine Rechtsberatung im Einzelfall.
Quellen & weiterführend
Konkrete Fragen zu Ihrem Fall?
Im kostenlosen 15-Minuten-Erstgespräch ordnen wir Ihren Stand zu ISO 42001, ISO 27001 und dem EU AI Act ein – ehrlich und ohne Verkaufsdruck.