Erfolgsfaktoren aus der Praxis

| Q1-online » MANAGEMENT » INTEGRIERTES MANAGEMENT » Erfolgsfaktoren aus der Praxis

Migration und Erweiterung des Integrierten Management-Systems Erfolgsfaktoren aus der Praxis

(c) Hans Jürgen August
(c) Hans Jürgen August

Die Revisionen der Normen ISO 9001 und ISO 14001  sowie Kundenanforderungen zur Implementierung weiterer Normen wie OHSAS 18001 / ISO 45001 und ISO 27001 stellen viele Organisationen vor herausfordernde Aufgaben. Die Erfahrungen bei Siemens Convergence Creators geben Hinweise, wie in engem Zeitrahmen Veränderungen und Ergänzungen im IMS implementiert und operativ verankert werden können.
Text: Hans-Jürgen August

Es sind alles andere als beschauliche Zeiten für Menschen, die für Integrierte Management-Systeme (IMS) in Organisationen verantwortlich sind: Wer die im Jahr 2015 herausgegebenen Revisionen der Normen ISO 9001 und ISO 14001 bereits implementiert hat, wird hier und da noch nach Synergiepotenzialen suchen und an der nachhaltigen operativen Umsetzung arbeiten. Jene, die noch keine Gelegenheit hatten, die Anforderungen der revidierten Normen zu berücksichtigen, blicken möglicherweise etwas unruhig auf den Kalender: Spätestens im September 2018 verlieren die auf die ISO 9001:2008 und ISO 14001:2004 ausgestellten Zertifikate ihre Gültigkeit, unabhängig davon, wann sie ausgestellt wurden.

 

ISO 27001 gewinnt an Bedeutung

Doch damit nicht genug: Vor allem wer große, multinationale Unternehmen zu seinen Kunden zählt, spürt deren wachsende Erwartung, dass Lieferanten nach wichtigen Managementsystem-Normen jenseits der ISO 9001 zertifiziert sind oder zumindest nachweisen können, nach entsprechenden Systemen zu arbeiten. Besonders die Norm ISO 27001, die sich mit der Sicherheit von Informationen befasst, gewinnt rasch an Bedeutung – eine verständliche Entwicklung, bedenkt man all die Informationssicherheits-Vorfälle, von denen nahezu täglich berichtet wird. Für das Jahr 2015 bezifferte die britische Versicherungsgesellschaft Lloyd’s den Schaden durch Cyberkriminalität auf 400 Milliarden US-Dollar, Juniper Research sagt für 2019 Kosten in Höhe von 2,1 Billionen Dollar voraus. Entsprechend steigt die Wachsamkeit in Unternehmen, was sich auch in der Zahl der Zertifizierungen zeigt: Die von der International Standards Organization (ISO) veröffentlichten Zahlen zeichnen ein klares Bild: Von allen Normen, nach denen seit mindestens zehn Jahren zertifiziert werden kann, erfuhr die ISO 27001 in den vergangenen fünf Jahren den stärksten prozentuellen Zuwachs.

 

Qualitätsmanager sind gefordert

Oft sind es die Qualitätsmanager, die in Organisationen für das Integrierte Management-System zuständig sind. Der einheitliche Ansatz im Prozesshaus spiegelt sich in diesen Fällen in einer umfassenden Verantwortung einer einzelnen Person. Damit ergeben sich zusätzliche Anforderungen – in Bezug auf fachliche Kenntnisse wie hinsichtlich persönlicher und sozialer Kompetenzen. Über den ohnehin schon sehr weit gefassten Themenbereich der ISO 9001 hinaus, die unter dem Titel „Qualitätsmanagement“ auch Aspekte der Strategieentwicklung, des Human Resource Managements, des Kompetenz- und des Wissensmanagements oder des Lieferantenmanagements  – um nur einige zu nennen – behandelt, müssen die für das IMS Verantwortlichen zumindest über ein Grundverständnis der anderen im System abgebildeten Themenbereiche wie Umwelt, Gesundheit und Arbeitssicherheit oder Informationssicherheit verfügen. In jedem Fall wird erwartet, dass sie die entsprechenden Normen interpretieren und für die Fachverantwortlichen „übersetzen“ können. Oft liegt es am IMS-Verantwortlichen, die Umsetzung der Normanforderungen zu koordinieren und voranzutreiben. Er tritt als Coach und Vernetzer, als Koordinator und Reviewpartner auf, muss Verständnis für operative Dringlichkeiten und persönliche Befindlichkeiten haben und dennoch das Ziel unbeirrbar verfolgen.

Wie kann vor dem Hintergrund der sich ändernden Normenwelt diese Fülle an Herausforderungen bewältigt werden? Wesentliche Erfolgsfaktoren lassen sich an Hand der bei Siemens Convergence Creators gesammelten Erfahrungen darstellen. Das Unternehmen mit Headquarter in Wien und Standorten in elf Ländern liefert seinen Kunden Lösungen und Dienstleistungen in den Bereichen Telekommunikation, Service- und Kundenmanagement, öffentliche Sicherheit und Weltraumtechnik. Dem Aufbau des Integrierten Management-Systems wurde bereits in der Q1-Ausgabe 2015|02 ein Artikel gewidmet. Auch bei Siemens Convergence Creators wuchsen die kundenseitigen Anforderungen an das Managementsystem in den vergangenen zwei bis drei Jahren weiter, vor allem in den Themenbereichen Arbeitssicherheit und Gesundheitsschutz sowie Informationssicherheit.

Im Herbst 2016 wurde daher ein umfangreiches Zertifizierungsprogramm beschlossen:

Migration auf die Normen 9001:2015 und 14001:2015 für alle zertifizierten Länder des Unternehmens (Österreich, Deutschland, Indien, Kroatien, Rumänien, Tschechien und die Slowakei - dies nur bei ISO 9001).

Erstzertifizierung nach OHSAS 18001 in Österreich und Deutschland, Integration der bestehenden Zertifizierungen in Kroatien und Rumänien unter einem gemeinsamen Schirm.

Weiterentwicklung des Informationssicherheits-
Systems mit dem Ziel der Zertifizierung nach ISO 27001 in
Österreich, Deutschland, Indien, Kroatien und Rumänien.

 

Über die Normen hinausgehen

Natürlich verfügte Siemens Convergence Creators bereits vor diesem Programm auch in den Bereichen Arbeitssicherheit und Gesundheitsschutz sowie Informationssicherheit über Systeme, die weit über gesetzliche Vorgaben und großteils über die Anforderungen der Normen hinausgingen. Weshalb wurde dennoch entschieden, die Leistungsfähigkeit der Systeme auch über Zertifikate nachzuweisen?

Es waren strategische und operative Überlegungen, die diesem Beschluss zugrunde lagen: In vielen Ausschreibungen fließen vorhandene Zertifizierungen in die Bewertung der Angebote ein. Sehen die meisten Kunden eine Zertifizierung nach ISO 9001 mittlerweile als Selbstverständlichkeit, so wird in manchen Fällen auch eine Zertifizierung nach ISO 27001 vorausgesetzt, um als Lieferant qualifiziert zu werden.

Das Zertifizierungsprogramm stellte Herausforderungen in drei Dimensionen: Erstens in Bezug auf den Inhalt (Migration, Ergänzung um weitere Normen), zweitens hinsichtlich der internationalen Koordination (Zertifizierungen in bis zu sieben Ländern), und drittens aufgrund der ehrgeizigen Zeitplanung. Da für Juni 2017 die Audits zur Rezertifizierung angesetzt waren, mussten die Migration des Qualitäts- und des Umwelt-Managementsystems sowie die Absicherung des Gesundheits- und Arbeitssicherheits-Managementsystems in einem halben Jahr bewerkstelligt werden. Kaum mehr Zeit blieb für den Ausbau des Informationssicherheitssystems, das bis Oktober 2017 zertifiziert werden sollte.

Offen gesagt: Ja, es gab Stimmen, die dieses Unterfangen als zumindest verwegen bezeichneten. Wie wurde konkret vorgegangen, um es dennoch zum Erfolg zu führen?

Am Anfang stand die genaue Analyse der Normtexte. Als hilfreich erwiesen sich dabei nicht nur das von Annie Koubek herausgegebene „Praxisbuch ISO 9001:2015“, sondern auch Informationen von Zertifizierungsstellen und einschlägige „Refresher“-Kurse. Auf dieser Basis gelang es, die Analysen der Normen und die Übersetzung in den Rahmen von Siemens Convergence Creators ohne externe Unterstützung durchzuführen. Einzig für die Gap-Analyse zur ISO 27001 wurde ein externer Berater hinzugezogen. Als interner Sparring-Partner lieferte – die internationale Aufstellung des Unternehmens nutzend – vor allem die Qualitätsmanagerin der rumänischen Einheit wertvolle Beiträge.

Alle Inhalte der Normen ISO 9001:2015, ISO 14001:2015 und ISO 27001:2013 wurden im kompletten Wortlaut abschnittweise gegenübergestellt, um Synergiepotenziale zu orten. Eine wesentliche Hilfe stellt natürlich die gemeinsame Grundstruktur dieser Normen dar, die sogenannte „High Level Structure“. Die Hoffnung, zur Berücksichtigung des Gesundheits- und Arbeitssicherheitsmanagements die ISO 45001 heranziehen zu können, schwand im Laufe des Jahres 2016 aufgrund der Verzögerungen bei der Freigabe der Norm, weshalb beschlossen wurde, die Zertifizierung nach OHSAS 18001 anzustreben. Diese Norm fügt sich nicht in die „High Level Structure“, dennoch lassen sich weite Teile auch dieses Standards auf die entsprechenden Kapitel der anderen Normen abbilden.

Auf Basis dieser synergieorientierten Textanalyse wurde eine Gap-Analyse durchgeführt: Wo waren Verfahren neu aufzusetzen, wo bestehende zu erweitern? Im Grunde zeitgleich wurde auch skizziert, wie das Schließen der Lücken erfolgen könnte. Fand sich in manchen Fällen rasch eine Lösung, so erwies es sich bei manch anderen Themen als schwieriger: Um die Forderung, die Organisation und deren Kontext zu verstehen, zu erfüllen, wurde ein klassischer aus dem Strategischen Management bekannter Ansatz verwendet, die sogenannte PESTEL-Methode. Deren Name erinnert nicht etwa an einen genialen Managementtheoretiker, sondern ist schlicht die Abkürzung der Aspekte „political“, „economic“, „socio-cultural“, „technological“, „legal“ und „environmental“. Vereinfacht gesagt handelt es sich um eine Checkliste, um alle für eine Organisation möglicherweise relevanten Aspekte zu berücksichtigen.

Wie wurde diese Methode bei Siemens Convergence Creators angewandt? Im ersten Schritt wurde die Frage gestellt, welche aktuellen oder zukünftigen Entwicklungen in den sechs genannten Sektoren einen Einfluss auf das Unternehmen haben könnten. Koordiniert vom zentralen Qualitätsmanagement wurden die Beiträge verschiedener Stakeholder eingesammelt. Die Informationen ergaben sich aus persönlichen Einschätzungen sowie aus einschlägiger Literatur, Studien und Konferenzberichten. Dabei wurde zunächst keine Bewertung der Themen vorgenommen, um den Analysehorizont offen zu halten. Erst im nächsten Schritt wurden die eingebrachten Entwicklungen in mehreren Schleifen evaluiert, final in einem halbtägigen Workshop, an dem unter anderem das Top Management sowie alle Landesleiter teilnahmen. Nicht umsonst erfreut sich die Methode im Strategischen Management großer Beliebtheit: Wenn auch deren Anwendung durch jemanden begleitet werden sollte, der die Methodik kennt und zum Beispiel die Granularität der Themennennungen und den betrachteten Zeithorizont steuert, so ist sie doch einfach zu erfassen und anzuwenden. Die Erfahrungen bei Siemens Convergence Creators sind durchwegs positiv, die Ergebnisse werden als wertvoll weit über die Erfüllung einer Normanforderung hinaus gesehen.

 

Wissen ist nicht leicht zu bestimmen

Erwies sich also die Anwendung der genannten Methode als naheliegend, einfach und nützlich, so zeigte sich die neu in die ISO 9001 aufgenommene Forderung, benötigtes Wissen zu bestimmen, aufrechtzuerhalten und zur Verfügung zu stellen, als herausfordernder. Es gibt wohl wenige Themengebiete, in denen so viele Modelle entwickelt und in zahllosen Publikationen vorgestellt wurden wie im Wissensmanagement. Vor allem im deutschsprachigen Raum ist etwa das Modell der acht Wissensbausteine nach Probst, Raub und Romhardt bekannt. Doch wie lässt sich dies in eine konkrete Organisation übertragen? Selbstverständlich wird in einem Hochtechnologieunternehmen wie Siemens Convergence Creators täglich Wissen erzeugt und erworben, geschützt und weitergegeben. Vieles davon fließt etwa in technische Dokumente wie Lösungsspezifikationen, in den Software-Code und Leiterplattenlayouts oder als Prozesswissen in das IMS ein, vieles allerdings ist undokumentiertes, persönliches oder organisationales Wissen. Angesichts der Geschwindigkeit, mit der sich Wissen ändert, wurde die Ablage von Wissen etwa in einer Wissensdatenbank als nicht zielführend bewertet. Stattdessen liegt der Fokus auf der Identifikation von internen wie externen Wissensquellen. Doch sollte dies genügen, um einen der wichtigsten Unternehmenswerte – das Wissen der Organisation – abzusichern? Oder wären damit bedenkliche Risiken verbunden?

Das Thema des Risiko- und Chancenmanagements das führte schließlich zu einer neuartigen Methodik im Wissensmanagement bei Siemens Convergence Creators: Zunächst wurde Wissen identifiziert und eingeschätzt, welchen Stellenwert es für die Erreichung der Unternehmensziele einnimmt. Würde dessen Verlust in einem einzelnen kleineren Projekt zu Verzögerungen führen oder das Geschäft des Unternehmens gefährden? Anschließend wurde geklärt, in welcher Form dieses Wissen vorlag: War es gut dokumentiert und allgemein verfügbar oder nur in wenigen Köpfen vorhanden? Der dritte Teil der Risikobewertung befasste sich mit der Frage, wie einfach dieses Wissen, ginge es dem Unternehmen verloren, wiedererlangt werden könnte. Beispielsweise stellt Erfahrung und Wissen im Projektmanagement eine wesentliche Basis für das operative Geschäft bei Siemens Convergence Creators dar. Ein völliger Verlust dieses Wissens würde die Existenz des Unternehmens bedrohen. Allerdings ist dieses Wissen in der Organisation gut verankert: Sie verfügt über Dutzende zertifizierte und sehr erfahrene Projektmanager, State-of-the-art-Prozesse sind im IMS umfassend beschrieben, und notfalls ließe sich das Wissen zumindest teilweise auch extern zukaufen.

 

Risikofaktoren berechnet

Auf Basis der beschriebenen Bewertungen von Kritikalität für das Unternehmen, gesicherter Verfügbarkeit sowie Möglichkeiten, Wissen (wieder) zu erlangen, wurde ein Risikofaktor berechnet. Wie bei jeder Art von Risikomanagement bestimmt dieser Wert die Priorität zu setzender Maßnahmen. Wurde also in einem Fall ein Standardwerkzeug aus der Managementliteratur verwendet, kam im anderen ein neuartiger Ansatz zur Anwendung. Ähnlich verhält es sich mit anderen Themenbereichen. Immer wurde darauf geachtet, die Anforderungen über alle Normen hinweg gemeinsam zu berücksichtigen: Dies gilt für das Risiko- und Chancenmanagement genauso wie etwa für die Managementbewertung, die in einem integrierten Ansatz in allen Ländern nach gleichem Muster durchgeführt wird und es gilt für alle implementierten Normen: Auch der Hauptteil der ISO 27001 wurde großteils synergetisch berücksichtigt; einzig für die im Annex der Norm definierten, oftmals eher technischen Forderungen wurden notfalls spezifische Regularien definiert.

 

Alle Audits auf Anhieb bestanden

Nach Monaten der Design- und Implementierungsarbeit nahten die Audits durch Quality Austria (9001, 14001, 18001) und CIS (27001) – und wurden erfolgreich bestanden. Wie lassen sich zurückblickend die wichtigsten Erkenntnisse zusammenfassen? Die synergetische Behandlung aller Normen eröffnet umfangreiche Möglichkeiten zur Verringerung der Aufwände. Wichtiger noch als die Einsparungen in der Konzeptionsphase ist die Minimierung der Komplexität in der Organisation – wo für vier Normen vier verschiedene Prozesse entwickelt werden könnten, genügt oft ein einziger. Das enge und ausbalancierte Zusammenspiel zwischen einer koordinierenden Stelle – meist wird diese im Qualitätsmanagement angesiedelt sein – und den fachlich und operativ Verantwortlichen bildet die Basis für normgerechte, dem Zweck der Organisation angepasste und operativ unterstützende Prozesse.

Wichtig wie die Zusammenarbeit über Themenbereiche hinweg ist jene über Landesgrenzen: Dem Grundsatz „So viel global wie möglich, so viel lokal wie nötig“ folgend nutzen die Landesgesellschaften die gemeinschaftlich geltenden Regularien. Die dadurch eingesparten Kapazitäten konnten lokale Qualitätsmanager nutzen, um zur Entwicklung des globalen Systems beizutragen.

Nicht zuletzt ist der Rückhalt des Topmanagements unverzichtbar. Das klare Bekenntnis, dass die Erweiterung der Zertifizierungslandschaft der geschäftlichen Strategie des Unternehmens entspricht, wirkt als hilfreicher Katalysator im Change-Prozess.

Was bleibt nach erfolgreicher Migration und Erweiterung der Prozesslandschaft zu tun? Nun gilt es, die Veränderungen operativ und kulturell nachhaltig zu verankern – und die nächsten Herausforderungen für das Managementsystem früh zu erkennen und zu meistern.

bezahlte Anzeige

DIESE BEITRÄGE KÖNNTEN SIE AUCH INTERESSIEREN

bezahlte Anzeige

PMA Sky ROS Juli bis Oktober 2018

ÜBER DEN AUTOR

Keine Beiträge gefunden.

ANFRAGE ZUM BEITRAG

Sie möchten nähere Details zu diesem Beitrag? Haben Fragen zu den dargestellten Themen oder zu vorgestellten Produkten und Lösungen? Schreiben Sie uns Ihr Anliegen und wenn wir die Antwort nicht parat haben, finden wir sie gerne für Sie heraus.

Please enter your name.
Please enter a subject.
Please enter a message.

Zur Beantwortung Ihrer Frage speichern wir die von Ihnen eingegebenen Daten. Unsere Datenschutzrichtlinien können Sie hier einsehen.

You must accept the Terms and Conditions.

BÜCHER ZUM BEITRAG

Keine Beiträge gefunden.

AM MEISTEN GELESEN

Q1-online » MANAGEMENT » INTEGRIERTES MANAGEMENT » Erfolgsfaktoren aus der Praxis