fairlane.systems

AI-READINESS AUDIT · SERVICE

AI-Readiness Audit: Wo Ihr Betrieb heute mit KI steht – in ein bis fünf Tagen geklärt

Stack-Scan, Datenschutz-Check, drei priorisierte Use-Cases. Bericht plus 90-Min-Debriefing. Light ab CHF 1700, Deep CHF 3900.

Recherche & Faktencheck: · Stand: 2026-05

Was ist ein AI-Readiness Audit?

Ein AI-Readiness Audit ist eine kurze, fokussierte Standortbestimmung. Wir prüfen, wo Künstliche Intelligenz in Ihrem Betrieb wirklich etwas bringt – und wo nicht. Drei Bausteine: Stack-Scan (welche Systeme, welche Daten, welche Schnittstellen sind vorhanden), Datenschutz-Check Ihrer bestehenden Tools (Vendor-Datenfluss, Hosting-Standort, Auftragsverarbeitungs-Verträge) und drei priorisierte Use-Cases mit Kosten-Nutzen-Rechnung.

Der Audit ist bewusst kein Beratungsmarathon. Light (1 bis 2 Tage, CHF 1700) ist eine Manager-Sicht für einen Geschäftsführer, der vor einer Investitions-Entscheidung steht. Deep (3 bis 5 Tage, CHF 3900) ist die technische Variante, wenn die IT-Verantwortlichen einen prüfbaren Bericht brauchen. Daneben gibt es den Discovery-Workshop (1 Tag, CHF 2200) als gemeinsame Arbeitssitzung mit Geschäftsleitung und Schlüsselpersonen.

Der Audit ist kein Zertifikat. Er ist auch kein Ersatz für eine ISO/IEC 42001-Prüfung (siehe „Wann nicht"). Er ist ein klar geschnittenes Werkzeug für den Moment, in dem Sie wissen wollen, ob, wo und wie KI bei Ihnen lohnt – bevor Sie eine externe Beratung beauftragen oder einen Lieferanten wählen.

Warum es wichtig ist

Die meisten KI-Projekte in Schweizer KMU starten ohne Standortbestimmung. Folge: ein Workshop, ein PDF, eine Empfehlung – und danach betreiben Sie nichts. Oder schlimmer: Sie kaufen ein Tool, das Mandantendaten an US-Cloud-Dienste schickt, und merken erst nach der Datenschutz-Anfrage, dass Sie ein Problem haben.

Ein Audit bricht diesen Kreislauf an drei Stellen. Erstens schafft er eine ehrliche Bestandsaufnahme: welche Prozesse sind überhaupt KI-tauglich, welche nicht. Viele Prozesse sind es nicht – und das zu wissen, spart Geld. Zweitens bringt er die Datenschutz-Frage VOR die Werkzeug-Wahl: Welche Daten dürfen welches Modell sehen? Welche Vendoren erfüllen das neue Schweizer Datenschutzgesetz (revDSG, seit September 2023) und den EU AI Act (Verordnung 2024/1689, Hochrisiko-Vorschriften ab August 2026)?

Drittens priorisiert er. Wir liefern nicht „zehn Ideen" – wir liefern drei Use-Cases, mit Aufwand, erwarteter Einsparung und Risiko. Das ist die Grundlage für eine Geschäftsleitungs-Entscheidung in 30 Minuten, nicht in drei Sitzungen. Das Schweizer Bundesamt für Statistik berichtet, dass 2024 rund 16 Prozent der Schweizer Unternehmen KI einsetzten, mit klarem Vorsprung der grossen Betriebe – die KMU-Lücke ist real, und sie schliesst sich nicht durch Folien.

Wie der Audit abläuft

Der Audit läuft in vier Blöcken, über ein bis fünf Arbeitstage verteilt.

Block 1 – Kickoff (60 Min): Wir hören zu. Was beschäftigt Sie operativ? Wo geht Zeit verloren? Was haben Sie schon ausprobiert? Wir signieren eine kurze NDA, sammeln Zugangswünsche und legen den Prüfumfang fest.

Block 2 – Stack-Scan (asynchron, halber bis ganzer Tag): Wir nehmen eine Bestandsaufnahme der eingesetzten Systeme auf – CRM, Buchhaltung, Mail, Dokumentenablage, Fachapplikationen. Dazu gehören: Hosting-Standort, eingesetzte SaaS-Anbieter, vorhandene API-Schnittstellen, Datenklassifikation (öffentlich, intern, vertraulich, Berufsgeheimnis).

Block 3 – Datenschutz-Check (halber bis ganzer Tag, bei Deep zusätzlich Vendor-Datenfluss-Mapping): Welche Tools senden welche Daten wohin? Welche Verträge liegen vor (Auftragsverarbeitung, Datenexport)? Wo sind revDSG- und EU-AI-Act-Lücken? Bei Light ist das eine Heatmap, bei Deep ein detailliertes Vendor-Datenfluss-Diagramm.

Block 4 – Use-Case-Workshop und Debriefing (90 Min): Wir stellen drei priorisierte Use-Cases vor, mit Aufwandsschätzung in Tagen, erwarteter Einsparung pro Monat oder Quartal, und Risiko-Klassifikation. Dann diskutieren wir mit der Geschäftsleitung. Sie erhalten den Bericht (8 bis 40 Seiten je nach Variante) plus eine Risiko-Heatmap als PDF und als bearbeitbares Markdown. Sie können damit weiterarbeiten – auch ohne uns.

Audit-Workflow in 6 Schritten

  1. 01Kickoff (60 Min): NDA, Prüfumfang, Zugangswünsche, Schlüsselpersonen.
  2. 02Stack-Scan: Bestandsaufnahme von CRM, Buchhaltung, Mail, Dokumentenablage, Fachapplikationen.
  3. 03Datenschutz-Check: Vendor-Datenfluss, Hosting-Standort, revDSG- und EU-AI-Act-Lücken.
  4. 04Use-Case-Long-List: 8 bis 15 Kandidaten aus Stack-Scan und Mandanten-Gespräch.
  5. 05Priorisierung: 3 Top-Use-Cases mit Aufwand, Einsparung und Risiko-Klassifikation.
  6. 06Debriefing (90 Min): Bericht, Risiko-Heatmap, Empfehlungen – gemeinsam mit Geschäftsleitung.

Wann ein Audit Sinn ergibt

Ein Audit ist sinnvoll, wenn (a) Sie spüren, dass KI „kommt", aber nicht wissen wo anfangen, (b) ein Anbieter Ihnen ein Tool angeboten hat und Sie eine zweite Meinung wollen, (c) ein Mandant oder Verband nach Ihrer KI-Strategie fragt, oder (d) Sie investieren wollen, aber der Aufwand-Nutzen unklar ist.

Konkrete Auslöser, die wir in den vergangenen Monaten gesehen haben: Eine Treuhand mit 12 Mandaten, die Mandanten-Onboarding standardisieren will. Eine Anwaltskanzlei mit 30 Jahren Schriftverkehr, die ein durchsuchbares Mandanten-Gedächtnis braucht. Ein Industrie-KMU mit drei Standorten, das Mail-Triage und Lead-Routing automatisieren möchte. In allen drei Fällen war der erste Schritt ein Audit – nicht ein Tool-Kauf.

Der Audit ist auch sinnvoll vor einer ISO/IEC 42001-Zertifizierung. Wir liefern nicht das Zertifikat, aber wir liefern den technischen Layer (Datenfluss, Vendor-Liste, Risiko-Heatmap), den ein Auditor und ein Anwalt für die formelle Prüfung erwarten. Das spart drei bis sechs Wochen Vorarbeit.

Wann NICHT

Ein Audit ist die falsche Wahl, wenn Sie eine formelle ISO/IEC 42001-Zertifizierung brauchen – dafür sind wir kein Auditor. Die ISO 42001 (Norm aus 2023, EN-Fassung 2026) ist ein zertifizierbares Management-System mit 10 Klauseln und 39 Controls. Sie braucht eine akkreditierte Stelle (BSI, KPMG, A-LIGN und andere). Wir liefern Vorarbeit, nicht das Zertifikat.

Ebenfalls falsch ist der Audit, wenn Sie eine reine Rechts-Beratung suchen. Wir liefern keinen Datenschutz-Bescheid, kein Rechtsgutachten zur DSG-Konformität und keine FINMA-Bewertung. Für rechtsverbindliche Aussagen arbeiten wir mit einer Schweizer Anwaltskanzlei zusammen – der Audit liefert dann die technische Grundlage, auf der eine Kanzlei ihr Gutachten aufbaut.

Und der Audit ist falsch, wenn Sie nur eine Implementations-Offerte brauchen. Wenn Ihr Use-Case bereits klar ist („wir wollen einen WhatsApp-Bot für Terminbuchung"), springen Sie direkt zum entsprechenden Service-Modul. Der Audit lohnt sich, wenn die Frage ist: „lohnt es sich überhaupt – und wenn ja, wo zuerst?" Bei klarem Use-Case ist er ein Umweg.

Vor- und Nachteile

STÄRKEN

  • Festpreis, klar geschnitten – keine Beratungs-Stunden-Falle
  • Drei priorisierte Use-Cases mit Aufwand-Nutzen, nicht zehn Ideen
  • Datenschutz-Check vor Tool-Wahl – kein Lock-in mit US-Cloud
  • Bericht gehört Ihnen, in PDF und bearbeitbarem Markdown
  • Vorarbeit für ISO-42001-Zertifizierung, falls später benötigt

SCHWÄCHEN

  • Kein Zertifikat – für formelle ISO 42001 brauchen Sie eine akkreditierte Stelle
  • Kein Rechtsgutachten – für DSG-Bescheide arbeiten wir mit einer Anwaltskanzlei
  • Bei klarem Use-Case ein Umweg – dann direkt das Service-Modul buchen
  • Bei Mikro-Betrieben unter 5 Personen oft überdimensioniert

Häufige Fragen

Wie viel Zeit muss ich als Geschäftsführer investieren?

Bei Light: rund 2 Stunden über den ganzen Audit verteilt (Kickoff plus Debriefing). Bei Deep: 2 bis 3 Stunden plus eine kurze Vorstellungsrunde bei Schlüsselpersonen. Wir arbeiten den Rest asynchron – keine Workshop-Marathon-Wochen.

Warum nicht direkt ISO 42001 zertifizieren?

Weil eine ISO-42001-Zertifizierung 3 bis 9 Monate dauert und 20 bis 60kCHF kostet – sinnvoll, wenn Ihre Kunden oder Ihre Branche sie verlangen. Für die meisten Schweizer KMU ist sie heute noch überdimensioniert. Der Audit ist der Schritt davor: er klärt, ob die Zertifizierung sich überhaupt lohnt – und welche Lücken zuerst geschlossen werden müssen.

Was ist mit dem Bericht – bleibt der bei Ihnen?

Nein. Der Bericht gehört Ihnen. Sie erhalten ihn als PDF und als bearbeitbares Markdown. Sie können ihn intern weitergeben, an eine andere Beratung übergeben oder ablegen. Wir behalten eine anonymisierte Lessons-Learned-Notiz für unsere Wissensbasis, nichts Identifizierendes.

Was, wenn der Audit empfiehlt, NICHTS zu tun?

Dann sagen wir das. Wir haben bei zwei Mandaten der letzten Monate genau das empfohlen – weil der Reifegrad zu niedrig oder der Aufwand-Nutzen zu schlecht war. Das ist Teil des Versprechens „kein Verkaufsdruck". Ein ehrliches Nein spart Ihnen vier- bis fünfstellige Folgekosten.

Verwandte Themen

SERVER & INFRASTRUKTUR · SERVICEServer & Infrastruktur: Ubuntu, Docker, Monitoring – aufgesetzt, gehärtet, übergebenMULTI-LLM GATEWAY · SERVICEMulti-LLM Gateway: Acht Anbieter, ein Eingang, Compliance-RoutingRAG MIT EIGENEM WISSEN · SERVICERAG mit eigenem Wissen: Antworten aus Ihren Dokumenten – mit Quelle, nicht erfundenrevDSG · COMPLIANCErevDSG / revFADP und KI: Was das revidierte Schweizer Datenschutzgesetz für LLM-Nutzung bedeutetAUDIT-TRAIL · AI-KONZEPTAI-Audit-Trail-Design: Was Sie loggen müssen, damit eine KI-Antwort revisionsfähig bleibt

Quellen

  1. ISO/IEC 42001:2023 – AI Management Systems (official standard page) · 2026-03
  2. EN ISO/IEC 42001:2026 – European adoption catalogue entry · 2026-04
  3. KPMG Switzerland – ISO/IEC 42001 for AI governance · 2026-02
  4. Lorikeet Security – ISO/IEC 42001 Deep Dive 2026 · 2026-03
  5. EUR-Lex – Regulation (EU) 2024/1689 (EU AI Act) · 2024-07

PASSEND ZU IHREM STACK?

Wie das in Ihrem Betrieb konkret aussieht – 30 Minuten Erstgespräch.

Erstgespräch buchen