# KI für Zertifizierung und Audits: Wie sich ein Managementsystem mit einem Multi-Agenten-System betreiben lässt

> Am 8. Juli hat ein KI-Auditagent mein eigenes Qualitätsmanagementsystem geprüft und drei Haupt- sowie neun Nebenabweichungen gefunden. Einen Tag später empfahl der externe Auditor die Aufrechterhaltung des Zertifikats. Warum Managementsysteme das beste Einsatzfeld für künstliche Intelligenz sind, das ich kenne, und welche Regeln ein Auditbot braucht, damit sein Urteil überhaupt zählt.

*Published: 2026-07-10*

*Source: https://vellmerk.ai/blog/iso-9001-ki-agenten*

Fragen Sie jemanden, der ein auditiertes Managementsystem betreut, nach der Norm Ihrer Wahl, wovor er bei einem Audit am meisten Respekt hat, und Sie bekommen meistens die Antwort: vor den Wochen davor.

Nachweise zusammensuchen. Register nachtragen, die seit dem letzten Audit niemand angefasst hat. Prüfen, ob das Handbuch noch beschreibt, was tatsächlich passiert. Und die leise Ahnung, dass irgendwo im System ein Widerspruch schlummert, den man selbst längst nicht mehr sieht, weil man ihn geschrieben hat.

Ich habe das in diesem Jahr anders gemacht.

## Der Tag, an dem mich die eigene KI zerlegt hat

Am 8. Juli 2026 hat ein KI-Auditagent mein Qualitätsmanagementsystem auditiert. Nicht als Demo. Als reguläres internes Audit nach Kapitel 9.2 der ISO 9001:2015, mit schriftlichem Auftrag, festgelegten Auditkriterien und einem Bericht, der ins Abweichungsregister überführt wurde.

Das Ergebnis: drei Hauptabweichungen, neun Nebenabweichungen, vier Verbesserungsvorschläge, zwei Best Practices.

Die Gesamtbewertung, die der Agent über mein eigenes System schrieb, lautete sinngemäß: dokumentiert, aber einige Dinge nicht wirksam umgesetzt. Das ist keine Formulierung, die man gern über sich selbst liest. Sie war richtig.

Einen Tag später, am 9. Juli, saß der externe Auditor meiner Zertifizierungsgesellschaft LRQA vor denselben Unterlagen. Sein Bericht empfiehlt die Aufrechterhaltung des Zertifikats und enthält zwei Hinweise zur Weiterentwicklung. Mein Qualitätsmanagementsystem ist seit 2024 nach ISO 9001 zertifiziert.

Ich bin mir ziemlich sicher: Hätte ich das interne Audit wie in den Vorjahren extern zur Vorbereitung vergeben, wären diese Abweichungen in diesem Umfang nicht ans Licht gekommen. Die eine oder andere vielleicht. Zum einen, weil ein Dienstleister selten ein Interesse daran hat, unbequem zu sein. Zum anderen, weil sich in wenigen Stunden nicht jede Unterlage mit der nötigen Tiefe prüfen lässt. Was ich hier gebaut habe, geht an vielen Stellen tiefer.

Zwischen diesen beiden Tagen liegt die Antwort auf die Frage, wofür man KI in einem Managementsystem eigentlich braucht.

## Ein Auditbot ohne Regeln ist ein Grußkartenschreiber

Bitten Sie ein beliebiges Sprachmodell, Ihr Qualitätsmanagement zu auditieren. Sie bekommen einen freundlichen Bericht. Ein paar Verbesserungsvorschläge, viel Anerkennung für die vorbildliche Struktur, keine einzige Abweichung. Der Bericht ist wertlos, und zwar nicht, weil das Modell zu schwach wäre. Sondern weil ihm niemand gesagt hat, dass er unbequem sein darf.

Der Wert entsteht durch die Fesseln einer vernünftigen Architektur, nicht durch das Modell und seine Leistungsfähigkeit an sich.

> „Mit der richtigen Architektur verbindet man die künstliche Intelligenz mit dem Managementsystem und bildet Rollen und Funktionen ab, die sich in fast allen Fällen besser erfüllen lassen als durch einen Menschen. Nicht, weil die Maschine klüger wäre, sondern weil sie ihre Rolle zu hundert Prozent ausfüllt: ohne die Angst, unbequem zu sein, und ohne einen einzigen unkonzentrierten Moment.“

Die ISO 9001:2015 verlangt in Kapitel 9.2.2 c) die Objektivität und Unparteilichkeit des Auditprozesses. Sie verlangt nicht die Rechnung eines externen Auditors.

In der Praxis kümmern sich in einer Organisation einige wenige Menschen um das Managementsystem, nicht selten sogar nur eine einzige Person. Und diese Person steht vor einem Dilemma: Entweder sie lässt sich von jemandem auditieren, der das Thema oft nicht in der nötigen Tiefe kennt, oder sie auditiert sich selbst. Beides ist nicht per se unzulässig, aber beides ist häufig unzweckmäßig. Gerade bei einer kleinen Organisation wie der Vellmerk.ai ApS ist das vom Grundsatz her noch heikler.

Deshalb hat man sich in der Vergangenheit oft mit externen Auditoren beholfen, auch schon für das interne Audit. Der Anspruch in diesem Jahr war, einen Schritt weiterzugehen, gerade bei der Automatisierung des eigenen Systems. Ein Agent kann die Rolle des internen Auditors übernehmen, sofern er sich an Regeln halten muss, die er nicht selbst ändern darf. Ich habe sechs davon in meinem Vorgabedokument verankert. Vier sind entscheidend:

**Die Auditkriterien stehen vor Auditbeginn schriftlich fest und werden während des Audits nicht geändert.** Damit lässt sich die Prüfung nicht nachträglich auf das erwünschte Ergebnis zuschneiden. Der Agent bekommt seinen Auftrag, bevor er weiß, was er finden wird.

**Nachweis ist ausschließlich eine existierende Datei oder Aufzeichnung.** Mündliche Zusicherungen sind kein Nachweis. Eine plausible Annahme ist kein Nachweis. Und der entscheidende Satz: Ein nicht auffindbarer Nachweis ist eine Feststellung. Damit fällt die bequemste aller Selbsttäuschungen weg, nämlich die Erinnerung daran, dass man das doch eigentlich gemacht hat.

**Der Agent arbeitet ausschließlich lesend.** Er darf kein Dokument, kein Register, keine Aufzeichnung anlegen, ändern oder löschen. Kein Schreibzugriff, keine Ausnahme. Die Wirkung ist simpel und fundamental: Der Auditor kann seine eigenen Feststellungen nicht beseitigen.

**Der vollständige Auditverlauf wird als Aufzeichnung aufbewahrt.** Prüffragen, gesichtete Nachweise, Bewertungen, alles. Ein Dritter muss den Lauf nachvollziehen können, ohne mich fragen zu müssen.

Das sind nicht alle Stellschrauben. Damit ein solches Verfahren in der nötigen Güte arbeitet, gehören weitere Konfigurationen und Einstellungen dazu, an denen ich gefeilt habe. Der Punkt ist aber: Es ist möglich. Und zwar nicht nur bei der ISO 9001. Mit den richtigen Regeln und den richtigen Workflows lässt sich KI-Unterstützung für praktisch jedes Managementsystem und vermutlich jede Zertifizierung einsetzen: für die Pflege der Dokumente, für interne Audits und für die Vor- und Nachbereitung externer Audits.

> „Losgelöst von der einzelnen Norm wird künstliche Intelligenz im Wissens- und Dokumentenmanagement und rund um Zertifizierungen zu einer Unterstützung, die man in wenigen Jahren nicht mehr wegdenken wird.“

## Was ein Agent findet, das Menschen übersehen

Die zwölf Abweichungen des ersten Laufs waren keine spektakulären Skandale. Sie waren genau das, was gerade bei vielen Dokumenten und komplexeren Strukturen entsteht: kleine, stille Inkonsistenzen, die auch dann auftreten können, wenn man vor der Freigabe konzentriert und nach bestem Wissen und Gewissen gegenliest. Vier Muster, generisch beschrieben:

**Ein freigegebener Prozess verlangte ein Formular, das es nicht gab.** Der Agent fand einen Fall. Ein daraufhin geschriebenes Prüfskript fand denselben Punkt noch fünfmal, in Dokumenten, die kurz zuvor freigegeben worden waren. Ein mehrseitiges Prozessdokument liest niemand mit dem Blick auf jede einzelne Formularnummer. Eine Maschine tut genau das.

**Eine Aufzeichnung hob eine Festlegung des Vorgabedokuments auf, dem sie untergeordnet ist.** Ein Formular kann ein Handbuch nicht aushebeln, das regelt Kapitel 7.5.2 der Norm. Aber es stand so da. So etwas fällt nur auf, wenn jemand beide Ebenen gleichzeitig im Kopf hat und die Hierarchie zwischen ihnen ernst nimmt. Menschen tun das nach dem dritten Dokument nicht mehr.

**Ein Vorgabedokument verwies auf einen Vorgang, der im Management Review behandelt worden sei.** Der Vorgang war auch behandelt worden. Er war nur nicht vollständig dokumentiert: Der Nachweis im Protokoll fehlte. Der Agent unterscheidet nicht zwischen einer guten Absicht und einem Beleg. Für ihn zählt allein, was aufgezeichnet ist.

**Ein Register führte ein Fälligkeitsdatum, das es im Kalender nicht gibt.** Den 31. April. Dieser Datumsstand hatte bereits mehrere interne und externe Audits überstanden, ohne dass er jemandem aufgefallen wäre. Erst jetzt fiel auf, dass es dieses Datum gar nicht gibt. Eine Kleinigkeit, zugegeben. Aber auch ein Beleg dafür, dass etwas über fast zwei Jahre und mehrere Prüfer hinweg unentdeckt bleiben kann.

Keiner dieser Befunde erfordert Intelligenz im emphatischen Sinne. Alle erfordern etwas, das Menschen bei ihrer eigenen Dokumentation strukturell nicht aufbringen: Unermüdlichkeit ohne Gnade und ohne Kontextwissen darüber, wie es gemeint war.

## Und wenn die KI danebenliegt?

Sie liegt daneben, natürlich. Nach dem ersten Lauf stufte mein Agent es als Hauptabweichung ein, dass dreizehn Monate ohne Managementbewertung vergangen seien. Nun fordert mein Vorgabedokument die Bewertung „einmal jährlich“, nicht „binnen zwölf Monaten“. In jedem Kalenderjahr hatte eine dokumentierte Bewertung stattgefunden. An diesem Punkt war der Befund zu streng. Er wurde im Zuge des Management Reviews eingeordnet und relativiert.

Die oberste Leitung bewertet jede Feststellung, bevor sie in die Maßnahmenverfolgung übernommen wird. Annahme, Herabstufung oder begründete Zurückweisung, dokumentiert im Management Review. Was dabei ausdrücklich nicht passiert: Der Auditbericht wird nicht geändert. Die zu strenge Feststellung steht bis heute unverändert in der Aufzeichnung, daneben die Begründung der Leitung, warum sie sie herabgestuft hat. Beides versioniert.

Das ist kein KI-Prinzip. Das ist Auditlogik, wie sie seit Jahrzehnten gilt. Der Unterschied ist, dass eine Maschine sie nicht aus Bequemlichkeit umgeht.

Und genau hier lassen sich die Stärken des Menschen mit denen der künstlichen Intelligenz verbinden. In der reinen Prüfarbeit, im Wissensmanagement, in der Vorbereitung eines Management Reviews spielt die KI ihre Stärken aus: unermüdlich, vollständig, entlang vorab definierter Prüfpunkte. Die kritische Würdigung aber bleibt beim Menschen. Das ist der zentrale Punkt.

Damit ein solches System trägt, wie fast jeder sinnvolle Einsatz künstlicher Intelligenz, müssen wir Menschen uns das kritische Denken bewahren. Wer sich aufs Abnicken und Weiterklicken beschränkt, trägt in einer Organisation künftig immer weniger bei. Gebraucht werden die kritischen Köpfe: Menschen, die einen Befund lesen, ihn verstehen, ihn durchdenken, und ihn dann annehmen, zur Korrektur geben oder begründet zurückweisen.

Was ich hier verbinde, sind zwei Stärken aus zwei verschiedenen Welten. Darin liegt die eigentliche Magie.

> „Die Magie liegt nicht darin, dass die KI den Menschen ersetzt. Vollautomatisierung ist weder das Ziel noch im Sinne der meisten Managementsysteme. Sie liegt darin, dass die KI die Datenpflege und die Vorbereitung übernimmt, damit der Mensch sich auf das konzentrieren kann, was nur er leisten kann: das strukturierte, kritische Nachdenken über die Entscheidung.“

## Warum Managementsysteme das ideale Terrain für KI sind

Und hier kommt der Punkt, der weit über mein eigenes Haus hinausgeht.

Die meisten KI-Projekte scheitern nicht an Modellen. Sie scheitern an dem, was darunter liegt: an Daten ohne Struktur, an Wissen ohne Ordnung, an Prozessen, die niemand aufgeschrieben hat. Ich nenne das das Informationsfundament, und ich baue es in Projekten regelmäßig erst einmal auf, bevor überhaupt eine KI ins Spiel kommt. Warum Daten nicht das neue Öl sind, sondern das Fundament, habe ich [in diesem Artikel](/blog/daten-als-fundament) ausführlich beschrieben.

Ein zertifiziertes Managementsystem ist dieses Fundament bereits.

Es besitzt genau die Eigenschaften, die eine KI braucht, um verlässlich zu arbeiten. Eine klare Dokumentenhierarchie: Vorgabedokumente stehen über Aufzeichnungen. Definierte Intervalle: monatlich, jährlich, nach jeder Änderung. Verbindliche Nachweispflichten: was nicht aufgezeichnet ist, ist nicht geschehen. Und einen externen Prüfmaßstab, an dem sich alles messen lassen muss, die Norm selbst.

Anders gesagt: Wer zertifiziert ist, hat die mühsame Vorarbeit für den KI-Einsatz längst geleistet und weiß es nur nicht. Die Ordnung, die Ihnen der Auditor jedes Jahr abverlangt, ist exakt die Ordnung, an der KI-Projekte anderswo scheitern.

Das gilt nicht nur für die ISO 9001. Dieselbe Struktur tragen ISO 27001 für Informationssicherheit, ISO 14001 für Umweltmanagement, ISO 27701 für Datenschutz, TISAX in der Automobilzulieferung, die AZAV in der Weiterbildung. Und sie tragen die Dokumentationspflichten, die der EU AI Act gerade für Hochrisikosysteme aufbaut. Überall Vorgabedokumente, Aufzeichnungen, Intervalle, Nachweise, ein externer Maßstab. Überall dieselbe Arbeit, die heute Menschen erledigen, die nach dem dritten Dokument aufhören, genau hinzusehen.

## Wie das System gebaut ist

Natürlich kann ich hier nicht das gesamte System im Detail beschreiben. Am Ende sind es viele Regeln, die ineinandergreifen und sich gegenseitig ergänzen. Aber einige zentrale Punkte möchte ich doch aufmachen.

**Die Quellen liegen in maschinenlesbaren Formaten vor, nicht nur als fertige Dokumente.** Jedes Vorgabedokument liegt als Markdown mit Kopfdaten vor: Dokumentennummer, Version, Status, Freigeber, Datum. Diese Quelle ist führend, alles andere wird daraus erzeugt.

**Die Änderungshistorie ist die Versionsverwaltung.** Jede inhaltliche Änderung ist genau ein Commit in Git. Wer, wann, was, warum, in welcher Zeile. Das ist kein technisches Detail, sondern der formale Änderungsnachweis, den die Norm in Kapitel 7.5 verlangt. Nur eben lückenlos, statt in einer händisch gepflegten Tabelle am Ende des Dokuments.

**Die wichtigsten Register und Kennzahlen laufen in einem lokalen Dashboard.** Sie werden dort gepflegt, nicht mehr in verstreuten Formularen oder Excel-Tabellen. Risiken, Abweichungen, Lieferanten, Angebote, alles lokal im Browser und direkt bearbeitbar. Jede Änderung landet mit Zeitpunkt, Feld, altem und neuem Wert in einer Änderungstabelle. Die schöne Tabelle ist nicht der Punkt, die Spur ist der Punkt.

**Freigegebene Dokumente entstehen als PDF-Schnappschuss.** Ein Entwurf trägt einen Entwurfsbanner und ist ausdrücklich kein gelenktes Dokument. Erst wenn ich den Status auf „Freigegeben“ setze, trägt das erzeugte PDF den Freigabevermerk. Für den Auditor liegt damit auf Knopfdruck ein sauberer Satz Dokumentation bereit.

**Prüfwerkzeuge halten die Abhängigkeiten zusammen.** Wenn Sie in einem Prozess etwas ändern, wird an anderer Stelle etwas unwahr. Ein Verweis zeigt ins Leere, ein Formular wird verlangt, das gestrichen wurde, eine Kennzahl steht in zwei Dokumenten unterschiedlich. Genau dafür laufen Prüfskripte, die diese Querverweise nachvollziehen und melden. Man kann sie automatisch nachziehen lassen. Ich bevorzuge die zweite Variante: Die Agenten schlagen vor, der Mensch entscheidet und gibt frei.

Das ist ein Auszug mit zentralen Elementen. Darüber hinaus gibt es sicherlich noch weitere Regeln. Aber ich hoffe, die Idee wird klar.

## Vom Management Review direkt in die Umsetzung

Der spürbarste Unterschied liegt nicht im Audit, sondern in der Managementbewertung.

Kennzahlen, Risiken, Kundenfeedback, Auditergebnisse und offene Maßnahmen liegen als strukturierte Daten vor, nicht als hastig gebauter Foliensatz. Statt Zahlen vorzulesen, spielt man die Themen mit den Agenten durch: Was sagt die Entwicklung dieser Kennzahl über das Ziel dahinter? Welches Risiko hat sich durch die Änderung verschoben? Wo widerspricht ein Beschluss von heute einer Festlegung von letztem Jahr?

Und was danach kommt, ist der eigentliche Gewinn. Jeder Beschluss wird unmittelbar als Aufgabe erfasst. Die Agenten aktualisieren daraufhin die betroffenen Prozessdokumente, Formulare und Register, bauen die PDFs neu und legen sie zur Abnahme vor. Was früher als Vorsatz im Protokoll stand und im Oktober jemandem wieder einfiel, ist am selben Abend ein Änderungsvorschlag mit Diff.

Die Freigabe bleibt beim Menschen. Den Status „Freigegeben“ setze in meinem System ausschließlich ich, nie ein Agent. Das ist keine technische Grenze, sondern eine bewusste.

## Was das in der Praxis heißt

Was die Vorbereitung eines Audits früher an Wochen gekostet hat, ist heute die Arbeit von Tagen, manchmal von Stunden. Interne Audits und die Vorbereitung auf externe Audits laufen teils automatisiert, teils vollständig automatisiert durch: Am Ende liegt der Bericht vor und zeigt genau, wo noch nachzuprüfen ist, wo etwas nicht stimmt, wo man korrigieren sollte.

Und es geht weiter. Zunehmend lässt sich ein solches System mit Wissen außerhalb des Managementsystems verbinden. Wenn sich im Zuge anderer Projekte etwas ändert, sind das oft Informationen, die nicht von selbst zu einer Anpassung im Managementsystem führen, obwohl sie es müssten. Genau hier öffnet sich der Weg zu einem ganzheitlich geführten Wissensmanagement: Das Managementsystem wird, auch über die Anforderungen unterschiedlicher ISO-Normen und externer Vorgaben hinweg, so gepflegt, dass es ihnen durchgehend gerecht wird.

Wichtiger als die gesparte Zeit ist aber etwas anderes: ein paar kritische, unbestechliche Augen mehr. Augen, die nicht wissen, wie es gemeint war. Die nicht müde werden. Und die nicht nachträglich löschen können, was sie gefunden haben.

Ich schreibe hier nicht über ein Konzept. Ich schreibe über das System, mit dem ich mein eigenes zertifiziertes Qualitätsmanagement betreibe, seit diesem Sommer, mit allen Abweichungen, die es an mir selbst gefunden hat.

Und im Grunde ist es nur logisch: Wer eine AI-first-Organisation aufbaut, betreibt auch sein Qualitätsmanagement AI-basiert. Ich kann nur sagen, dass man von dieser Verbindung zweier Welten unfassbar profitiert.

Wenn Sie ein Managementsystem betreiben, ein Audit vor sich haben oder eine Zertifizierung anstreben, dann sitzen Sie bereits auf dem Informationsfundament, das die meisten Organisationen erst mühsam aufbauen müssen. Die Frage ist nur, ob Sie es nutzen.

Sprechen Sie mit uns darüber, was ein Auditagent in Ihrem System finden würde.

Und übrigens: Auch wenn Sie noch keine Zertifizierung haben, sondern erst vor einem Zertifizierungsvorhaben stehen, war es nie einfacher, sich mit KI die notwendige Dokumentation aufzubauen und von Anfang an in ein AI-first geführtes Managementsystem zu starten. Nehmen Sie gerne Verbindung mit uns auf, wir unterstützen Sie.

## Häufige Fragen

### Darf ein KI-Agent nach ISO 9001 interne Audits durchführen?

Die Norm verlangt in Kapitel 9.2.2 c) die Objektivität und Unparteilichkeit des Auditprozesses. Sie schreibt nicht vor, wer das Audit durchführt, und verlangt insbesondere keinen externen Auditor. Entscheidend ist, dass das Verfahren unparteiisch ist. Dafür braucht ein KI-gestütztes Audit verbindliche Festlegungen: vorab fixierte Auditkriterien, ausschließlich dokumentierte Nachweise, strikt lesender Zugriff des Agenten und ein Auditbericht, der nachträglich nicht verändert wird. Sind diese Sicherungen dokumentiert und nachweisbar, ist das Verfahren normkonform.

### Was findet ein KI-Auditagent, das ein Mensch übersieht?

Vor allem stille Inkonsistenzen über Dokumentgrenzen hinweg. Typische Muster sind ein freigegebener Prozess, der ein Formular verlangt, das gar nicht existiert; eine Aufzeichnung, die eine Festlegung des ihr übergeordneten Vorgabedokuments aushebelt; eine Behauptung im Handbuch, für die kein Nachweis abgelegt ist; oder ein Fälligkeitsdatum, das es im Kalender nicht gibt. Keiner dieser Befunde erfordert besondere Intelligenz. Sie erfordern Unermüdlichkeit und die Bereitschaft, eine gute Absicht nicht als Nachweis zu akzeptieren.

### Kann KI ein Qualitätsmanagementsystem eigenständig pflegen?

Nein, und das sollte sie auch nicht. Sinnvoll ist eine klare Arbeitsteilung: Die Agenten prüfen, finden Widersprüche, schlagen Änderungen vor und aktualisieren Dokumente nach einem Beschluss. Die Freigabe bleibt beim Menschen. In unserem System setzt den Status „Freigegeben“ ausschließlich die Geschäftsführung. Das ist keine technische Beschränkung, sondern eine bewusste Grenze, denn die Verantwortung für ein Managementsystem lässt sich nicht delegieren.

### Für welche Normen und Zertifizierungen eignet sich dieser Ansatz?

Für alle, die auf derselben Struktur beruhen: Vorgabedokumente, Aufzeichnungen, festgelegte Intervalle, Nachweispflichten und ein externer Prüfmaßstab. Das gilt für ISO 9001 ebenso wie für ISO 27001, ISO 14001, ISO 27701, TISAX oder die AZAV, und zunehmend für die Dokumentationspflichten des EU AI Act. Je stärker eine Zertifizierung auf gepflegtem, strukturiertem Wissen aufbaut, desto größer der Hebel eines KI-gestützten Verfahrens.
