Argana Consulting GmbH
 Ihr externer Partner für Informationssicherheit, Datenschutz und Risikomanagement

Die AIMS-Dokumentenlandschaft



Dokumentierte Information: das Rückgrat des AIMS

Managementsysteme scheitern selten an fehlendem Willen – sie scheitern an Dokumentation, die niemand pflegen kann: zusammengesuchte Einzeldateien, uneinheitliche Begriffe, unklare Zuständigkeiten. ISO/IEC 42001 verlangt dokumentierte Information an präzise benannten Stellen. Die Kunst liegt darin, diese Anforderungen mit so wenigen, so gut verzahnten Dokumenten wie möglich zu erfüllen.


Eine Dokumentenfamilie, vier Gruppen

Governance & Strategie: Anwendungsbereich (Scope), KI-Politik, Rollen und Verantwortlichkeiten sowie KI-Ziele legen fest, wofür das AIMS gilt, welche Grundsätze gelten und wer wofür verantwortlich ist.
Risiko & Folgenabschätzung: Risikokriterien, Verfahren zur KI-Risikobeurteilung und -behandlung, der Risikobehandlungsplan und das Verfahren zur KI-System-Folgenabschätzung bilden den analytischen Kern – hier entscheidet sich, ob das AIMS Risiken wirklich steuert oder nur beschreibt.
Dokumentenlenkung: Die Lenkung dokumentierter Information und ein zentrales Dokumentenregister sichern Versionierung, Freigabe und Auffindbarkeit über den gesamten Lebenszyklus.
Nachweis & Audit: Die Anwendbarkeitserklärung (SoA) begründet für jedes Annex-A-Control die Anwendbarkeit oder den Ausschluss. Ein Control-Klausel-Dokument-Mapping stellt die lückenlose Rückverfolgbarkeit von jeder Normanforderung zum umsetzenden Dokument her – die Grundlage jedes internen und externen Audits.


Systematik statt Sammelsurium

Alle Dokumente folgen demselben Bauplan: einheitliche Dokumenten-IDs, identische Kapitelstruktur (Zweck, Geltungsbereich, normative Grundlage, Begriffe, Rollen, Anforderungen, mitgeltende Dokumente, Inkraftsetzung), definierte Freigabewege und jährliche Überprüfung. Deutsche Texte führen die englischen Fachbegriffe der Norm konsequent mit – wichtig für Organisationen, die international auditiert werden.


Vom Dokument zum Audit: das Toolkit

Ergänzend zum Dokumentenwerk gehört ein Audit-Toolkit auf Tabellenbasis zur Ausstattung: Reifegradbewertung je Normkapitel, SoA-Maßnahmenkatalog, Ausschlussregister, ein Mapping auf den EU AI Act sowie Auswertungen für die Managementbewertung. Damit wird aus dem Dokumentenwerk ein prüfbares System – und das interne Audit nach Kapitel 9.2 von der Pflichtübung zum Steuerungsinstrument.


Wie das AIMS mit den rechtlichen Pflichten des EU AI Act zusammenspielt, zeigt die Seite „AI-Act-Konformität umsetzen“.