Die Einschätzung der Cyber Academy
AAIA ist die weiterführende ISACA-Zertifizierung für die Prüfung von KI-Systemen, KI-Modellen und KI-Governance. Neu ab 2024. Setzt eine bestehende CISA oder gleichwertige Qualifikation voraus. Konzipiert für erfahrene Prüfer, die ihre KI-Kompetenz ausbauen. Ausgerichtet an ISO/IEC 42001 sowie den Hochrisikopflichten des EU AI Act.
Wozu die AAIA-Zertifizierung dient
Advanced in AI Audit (AAIA) ist eine ISACA-Zertifizierung für erfahrene Auditoren, die ihre Praxis auf künstliche Intelligenz ausweiten müssen. Sie ist eine jüngere Ergänzung des ISACA-Portfolios, eingeführt in dem Moment, in dem KI von Pilotprojekten zu Produktivsystemen überging, deren Verlässlichkeit Vorstände, Aufsichtsbehörden und Kunden nun erwarten. Die Prämisse ist eng und bewusst gewählt: Sie setzt voraus, dass Sie bereits auditieren können. AAIA bringt Ihnen den Auditprozess nicht erneut bei. Sie lehrt Sie, die Audit-Disziplin auf KI-Systeme, die dahinterstehenden Modelle und die sie umgebende Governance anzuwenden.
Dieser Fokus ist der Grund, warum AAIA als fortgeschritten und nicht als Einstiegsniveau positioniert ist. Sie richtet sich an Auditoren, die bereits eine Audit-Zertifizierung sowie eine sichere Beherrschung von Kontrollen, Nachweisen und Berichterstattung besitzen und die nun Fragen beantworten müssen, für die ein traditionelles IT-Audit nie ausgelegt war. Sind die Trainingsdaten zweckdienlich? Lässt sich das Verhalten des Modells erklären? Gibt es eine wirksame menschliche Aufsicht dort, wo das System folgenreiche Entscheidungen trifft? Wird die KI ausschließlich für ihren erklärten Zweck genutzt? Genau diese Lücken soll AAIA schließen.
Voraussetzungen und Einordnung
AAIA ist darauf ausgelegt, auf einer bestehenden Audit-Grundlage aufzubauen, statt für sich allein zu stehen. ISACA positioniert sie für erfahrene Auditoren, und in der Praxis wird von den Kandidaten erwartet, dass sie CISA oder eine gleichwertige anerkannte Audit-Zertifizierung besitzen, bevor sie sie angehen. Die Logik ist dieselbe, die ISACA über sein gesamtes fortgeschrittenes Angebot anwendet: Die Zertifizierung fügt eine Spezialisierung auf einer bewährten Basis hinzu, sie ersetzt diese Basis nicht. Ein Auditor, der nie einen Auftrag geleitet hat, wird wenig aus AAIA ziehen, während ein erfahrener CISA-Inhaber einen strukturierten Weg erhält, KI-Aufträge belastbar zu machen.
Wie sie sich auf ISO 42001 und den EU AI Act bezieht
Was AAIA praktisch statt akademisch macht, ist ihre Verankerung in den Rahmenwerken, an denen Auditoren nun prüfen sollen. Sie bezieht sich auf ISO/IEC 42001, die Managementsystemnorm für KI, die einem Auditor eine anerkannte Kontrollstruktur für KI-Governance liefert: Rechenschaftspflicht, Datenqualität, Transparenz, menschliche Aufsicht und Folgenabschätzung. Sie steht zudem im Einklang mit den Pflichten, die der EU AI Act Hochrisikosystemen auferlegt, bei denen Anbieter ein Risikomanagementsystem betreiben, technische Dokumentation führen, menschliche Aufsicht sicherstellen und eine Beobachtung nach dem Inverkehrbringen durchführen müssen. AAIA befähigt einen Auditor, Nachweise genau gegen diese Erwartungen zu sammeln.
Hier unterscheidet sich AAIA von einer allgemeinen KI-Governance-Qualifikation. Ein Governance-Zertifikat bringt Ihnen bei, ein KI-Managementsystem zu gestalten und zu betreiben. AAIA bringt Ihnen bei, es unabhängig zu beurteilen: ein KI-Audit zu planen, es um den vorgesehenen Zweck und das Risiko herum abzugrenzen, die Kontrollen zu prüfen, die Nachweise zu bewerten und Feststellungen zu berichten, auf die ein Vorstand oder eine Aufsichtsbehörde reagieren kann. Es ist das Assurance-Gegenstück zu den Aufbau- und Betriebskompetenzen, die Rahmenwerke wie ISO 42001 verankern.
Was AAIA-Inhaber tatsächlich tun
In der Praxis arbeitet ein Auditor mit AAIA-Kompetenz bei einem KI-Auftrag meist eine erkennbare Abfolge ab:
- Den Audit-Umfang um den vorgesehenen Zweck des KI-Systems, seine Risikoklassifizierung und die Rolle der Organisation als Entwickler, Anbieter oder Betreiber abgrenzen.
- Die Governance bewerten: ob Rechenschaftspflicht zugewiesen ist, ob KI-Risiko- und Folgenabschätzungen existieren und ob sie aktuell gehalten werden.
- Die für KI maßgeblichen Kontrollen prüfen, einschließlich Daten-Governance, Modelldokumentation, Transparenz gegenüber betroffenen Nutzern und menschlicher Aufsicht.
- Die Überwachung nach der Bereitstellung, die Vorfallbehandlung und die Rückkopplungsschleife bewerten, die das System innerhalb seiner erklärten Grenzen hält.
- Feststellungen in einer Audit-Sprache berichten, die sauber auf die ISO-42001-Kontrollen und die Pflichten des AI Act abbildet, damit die Organisation Lücken mit Nachweisen schließen kann.
Der Wert für eine Organisation ist Unabhängigkeit. Ein KI-Governance-Team kann bescheinigen, dass Kontrollen existieren; ein mit AAIA ausgestatteter Auditor kann die Assurance im Stil einer dritten Partei liefern, dass diese Kontrollen tatsächlich funktionieren, was Aufsichtsbehörden, Unternehmenskunden und Beschaffungsstellen zunehmend sehen wollen.
Frequently asked questions
01Brauche ich CISA, bevor ich AAIA ablege?
AAIA ist für erfahrene Auditoren konzipiert und setzt eine bestehende Audit-Zertifizierung wie CISA oder eine gleichwertige voraus. Sie baut auf einer bewährten Audit-Grundlage auf, statt den Auditprozess von Grund auf zu lehren, daher wird erwartet, dass Kandidaten diese Basis bereits mitbringen.
02Wie unterscheidet sich AAIA von der ISO-42001-Zertifizierung?
Sie sitzen auf gegenüberliegenden Seiten desselben Tisches. ISO 42001 ist eine Managementsystemnorm, die einer Organisation hilft, KI-Governance aufzubauen und zu betreiben. AAIA ist eine Auditoren-Zertifizierung, die Sie befähigt, diese Governance unabhängig zu beurteilen und darüber zu berichten, ob die Kontrollen funktionieren.
03Ist AAIA für den EU AI Act relevant?
Ja. AAIA steht im Einklang mit den Pflichten, die der AI Act Hochrisikosystemen auferlegt, etwa Risikomanagement, technische Dokumentation, menschliche Aufsicht und Beobachtung nach dem Inverkehrbringen. Sie bereitet einen Auditor darauf vor, Nachweise gegen diese Erwartungen zu sammeln und zu bewerten.
04An wen richtet sich AAIA?
An erfahrene IT- und interne Auditoren, die ihrer Praxis KI-Assurance hinzufügen müssen. Es ist eine fortgeschrittene Spezialisierung, keine Einführung in das Auditing, daher eignet sie sich für Praktiker, die bereits Aufträge leiten und nun KI-Systeme im Prüfumfang vorfinden.