Die Erklärung zur Anwendbarkeit (SoA) ist das Dokument, um das Ihr ISO-42001-Zertifizierungsaudit herum geplant wird. Diese Vorlage listet alle 38 Anhang-A-Kontrollen nach Zielbereichen gruppiert auf, mit Spalten für Anwendbarkeit, Begründung, Umsetzungsstatus, Nachweise und Verantwortliche, dazu ausgearbeitete Beispiele und ein Freigabeblock.
Die SoA hält fest, welche der 38 Referenzkontrollen aus Anhang A von ISO/IEC 42001:2023 für Ihr Unternehmen gelten, warum, und wie jede einzelne umgesetzt ist. Drei Gründe machen sie zum Kern der Zertifizierung:
Zertifizierungsauditoren fordern die SoA früh an und bauen den Auditplan darauf auf. Sie ziehen Stichproben aus Ihren anwendbaren Kontrollen und prüfen die Nachweise dahinter, jede Zeile muss also standhalten.
Jede als anwendbar erklärte Kontrolle sollte sich auf ein Risiko, eine rechtliche oder vertragliche Pflicht oder ein Geschäftsziel zurückführen lassen. Jeder Ausschluss muss zeigen, dass das zugrunde liegende Risiko oder die Tätigkeit tatsächlich nicht existiert.
Die SoA wird erneut geprüft und freigegeben, sobald sich die Risikobewertung ändert, KI-Systeme hinzukommen oder abgeschaltet werden oder ein Vorfall eine Lücke aufdeckt. Versionshistorie und Freigabeblock sind in der Vorlage enthalten.
Jede Anhang-A-Kontrolle erhält eine Zeile: Referenz, paraphrasierte Kontrolle, Anwendbarkeit, Begründung, Umsetzungsstatus, Nachweisverweis und benannte Verantwortliche. Drei kommentierte Beispielzeilen aus der Vorlage:
Adressiert die Risiken R-014 (Modelldrift im Kredit-Scoring-Modell) und R-021 (schleichende Verschlechterung des Support-Chatbots). Überwachungsschwellen und Eskalationswege sind in der Modellbetriebsrichtlinie definiert.
POL-AI-07 v2.1; monatliche Modell-Performance-Berichte; Alarmkonfiguration in der MLOps-Plattform
Leitung ML Engineering
Es werden keine Modelle intern trainiert oder feinabgestimmt; sämtliche KI-Funktionalität wird als vom Anbieter gehostete Dienste bezogen, daher existiert keine Trainingsdaten-Pipeline. Die Entscheidung wird überprüft, sobald interne Entwicklung beginnt.
KI-Systeminventar INV-2026-Q2 ohne interne Modellentwicklung
KI-Governance-Verantwortliche(r)
Adressiert Risiko R-009: KI-gestützte Entscheidungen lassen sich bei Beschwerden oder Vorfällen nicht rekonstruieren. Auditoren erwarten einen glaubwürdigen Plan, keine fertige Checkliste; solche teilweise umgesetzten Zeilen sind normal.
Prompt- und Antwortprotokollierung für den Kunden-Chatbot aktiv; Ausweitung auf die beiden internen Copilots für Q3 2026 geplant
Security Operations Manager
Die Vorlage deckt die neun Kontrollzielbereiche von Anhang A der ISO/IEC 42001:2023 mit paraphrasierten Zusammenfassungen ab, ergänzt um eine Übersichtstabelle zur Abdeckung.
Die beiden Dokumente teilen sich die Norm auf. Nutzen Sie beide, um ISO 42001 vollständig abzudecken.
Aona AI entdeckt jedes KI-Tool in Ihrem Unternehmen, überwacht, welche Daten hineinfließen, und hält das KI-Inventar und die Audit-Trails aktuell, auf die Ihre Erklärung zur Anwendbarkeit verweist.