Die Corona-Krise hat einiges verändert! Wenn wir uns 3 Jahre zurückerinnern, waren viele Unternehmen und wenn es um das Thema IT geht vor allem die Abteilungen, mit der neuen Situation überfordert. Viele mussten ihr Tagesgeschäft innerhalb kürzester Zeit umstellen. Hektisch und oft mit begrenztem Erfolg wurden Alternativen zu den bis dato zuverlässigen, kostengünstigen chinesischen Lieferanten gesucht. Eigene Kunden konnten infolgedessen nur stark verzögert beliefert werden. IT-Leiter kauften im Elektronikmarkt die letzte Palette Laptops zu alles andere als günstigen Konditionen. Während der folgenden Tage taten sie nichts anderes, als die Laptops zu konfigurieren, um die eilig ins Homeoffice umquartierten Mitarbeiter überhaupt arbeitsfähig zu halten. VPN-Verbindungen brachen zusammen, weil sich sämtliche Mitarbeiter von zuhause aus gleichzeitig einwählten oder kamen erst gar nicht zustande. In einigen Organisationen mussten Mitarbeiter trotz Ansteckungsgefahr weiter täglich ins Büro kommen, weil die notwendigen Umstellungen schlicht nicht kurzfristig umgesetzt werden konnten.
Zugegeben, dieses düstere Bild war längst nicht in allen Organisationen Realität. Allerdings kennen wahrscheinlich die meisten jemanden, der eine ähnliche Situation erlebt hat. Fakt ist: Was die Resilienz von Organisationen gegenüber Krisen angeht, hat COVID-19 ganz klar die Spreu vom Weizen getrennt. Es muss aber nicht immer gleich die ganz große Krise eintreten, damit sich die Vorbereitung lohnt: der Ausfall eines Lieferanten oder der Angriff auf die IT-Infrastruktur sind Risiken, denen jede Organisation ausgesetzt ist. Ein angemessenes Risikomanagement als Teil eines Managementsystems in den Bereichen Qualität, Informationssicherheit, Umwelt oder anderen hilft dabei, Resilienz gegenüber derartigen Ereignissen aufzubauen.
Welche Vorteile hat ein Integriertes Managementsystem?
Aufgrund steigender Anforderungen, zum Beispiel aus Verträgen oder Gesetzen, steigt die Notwendigkeit Managementsysteme zu betreiben. So fordern Kunden vielfach, dass die Qualität über ein Management verbessert wird. Für Betreiber kritischer Infrastrukturen fordert der Gesetzgeber den Betrieb eines Managementsystems für Informationssicherheit. Aber auch die DSGVO fordert von Unternehmen ein Datenschutzmanagementsystem, welches mit Hilfe der „neuen“ Norm ISO 27701 umgesetzt und auch zertifiziert werden kann. Dadurch steigt die Anzahl parallel betriebener Managementsysteme in vielen Organisationen. Die Herausforderung dabei ist, die einzelnen Managementsysteme sinnvoll miteinander zu verbinden. Genau hier setzt ein Integriertes Managementsystem (IMS) an. Es stellt gemeinsame Management-Prozesse für mehrere Einzelsysteme bereit. Damit lassen sich auf zweierlei Weise umfangreiche Synergien erzielen. Erstens werden personelle Redundanzen bei der Umsetzung der Managementsysteme reduziert. Zweitens wird sichergestellt, dass die verschiedenen Systeme durch aufeinander abgestimmte Ziele und Maßnahmen bessere Ergebnisse erzielen. In einer komplexer werdenden Welt kann ein IMS somit ein kraftvolles Werkzeug sein, um die Leistungsfähigkeit einer Organisation in verschiedensten Bereichen aufrechtzuerhalten und zu verbessern.
Die meistgenutzten bereichsspezifischen Managementsystem-Normen werden von der International Organisation for Standardisation (ISO) bereitgestellt. Diese sind einheitlich nach der sogenannten High Level Structure (HLS) aufgebaut. Dies vereinfacht die Umsetzung eines IMS deutlich, da für alle Teilsysteme einheitliche Managementwerkzeuge normkonform genutzt werden können. So sind zum Beispiel bei der Erstellung der wesentlichen Dokumente, im Risikomanagement und bei der Leistungsmessung und der Durchführung von Korrekturmaßnahmen die Anforderungen über die Standards harmonisiert.
Da es für ein IMS keine allgemein anerkannte, zertifizierbare Norm gibt, erfolgt die Zertifizierung immer auf Basis der einzelnen Standards, zum Beispiel ISO 9001 und ISO/IEC 27001. Der Vorteil, dass keine übergreifende IMS-Zertifizierungsnorm existiert ist, dass das Zusammenwirken der Einzelsysteme genau auf die Bedürfnisse der jeweiligen Organisation zugeschnitten werden kann.
Wann macht ein Integriertes Managementsystem Sinn?
Zu den wichtigsten Einflussfaktoren gehören zweifelsohne die Anzahl der betriebenen Einzelsysteme und die Größe der Organisation. Organisationen profitieren mit zunehmender Größe tendenziell stärker von einem IMS, die Umsetzung wird jedoch auch entsprechend herausfordernder.
Eine pauschale Aussage, ab wann ein IMS Sinn macht, ist grundsätzlich nicht möglich, da die Bedürfnisse von Organisation zu Organisation hierfür zu verschieden sind.
Um zu entscheiden, ob ein IMS eingeführt wird, sind einige wichtige Fragen zu beantworten: Welche Reibungspunkte gibt es beim Zusammenspiel zwischen den verschiedenen Einzelsystemen? Hilft ein IMS dabei, diese Reibungspunkte aus der Welt zu schaffen? Wie groß sind die Redundanzen, die mit einem IMS behoben werden können? Wurden bereits unbewusst Ansätze für ein IMS geschaffen, die weiterentwickelt werden können?
Die 3 Prioritäten in einem Integrierten Managementsystem
Die Einführung eines Integrierten Managementsystems ist ein iterativer Prozess und bringt meist Änderungen in vielen Bereichen mit sich. Die Erwartungshaltung sollte daher nicht darin bestehen, im ersten Wurf ein perfekt funktionierendes System auf die Beine zu stellen. Dieser Anspruch führt häufig zu einem top-down-lastigen Vorgehen und erzeugt Widerstände bei den Mitarbeitern. Die Einführung eines IMS sollte nicht wie das Umlegen eines Lichtschalters betrachtet werden, sondern wie das allmähliche Hochdrehen eines Dimmers. Dabei ist es wichtig, die Prioritäten in der richtigen Reihenfolge zu setzen.
Priorität 1: Menschen
Ein Integriertes Managementsystem, das diese Bezeichnung auch wirklich verdient, kann nur in einer Organisation existieren, in der das Zusammenspiel der Einzelsysteme nicht durch Silodenken aus dem letzten Jahrhundert behindert wird. Dies macht es notwendig, dass sich die Zusammenarbeit der Beteiligten verändert. Aufgabengebiete werden neu geschnitten und Hierarchien verschlankt. Liebgewonnene Befugnisse müssen abgegeben und andere neu übernommen werden, eine engere Zusammenarbeit zwischen verschiedenen Fachbereichen wird notwendig. Je nach Unternehmenskultur und einzelnen Charakteren ist dieser Schwenk nicht von heute auf morgen zu bewerkstelligen und kann einen nicht zu unterschätzenden Kraftakt darstellen.
Die professionelle Steuerung einzelner Managementsysteme erfordert jedoch, auch bei einer funktionierenden Zusammenarbeit, ein hohes Maß an normenspezifischem Fachwissen. Es kann daher nach wie vor sinnvoll sein, Managementsystembeauftragte für die Einzelsysteme zu benennen.
In modernen Organisationen wirkt der Managementsystembeauftragte als Coach. Er befähigt die Mitarbeiter dazu, Hindernisse für die Umsetzung des IMS zu beseitigen. Er unterstützt sie, indem er ihnen Kenntnisse dafür vermittelt, die IMS-Ziele auch in einem komplexen und sich ständig verändernden Umfeld zu erreichen. Er ist in der Lage, auf komplexe Herausforderungen für das IMS schnell zu reagieren, indem er Experten verschiedener Fachgebiete vernetzt. Input für die fortlaufende Verbesserung des IMS generiert er durch aktiven Austausch mit dessen Anspruchsgruppen. Dabei ist er möglichst nicht in die Berichtslinien der Organisation eingebunden, um seine Unabhängigkeit zu gewährleisten. Er verfügt somit nicht über disziplinarische Führungsbefugnisse, sondern steuert das IMS durch Einfluss und Kompetenz. Hierzu zählen neben methodischen Kenntnissen auch profunde Normen- und Fachkenntnisse.
Wen diese Aufzählung an die Rollenbeschreibung eines Scrum-Masters erinnert, der liegt richtig. Beide Rollen stehen vor ähnlichen Herausforderungen und erfordern somit ähnliche Kompetenzen.
Allerdings räumen die deutlichen Parallelen mit einem noch immer weitverbreiteten Vorurteil auf: IMS sind zu schwerfällig für agile Organisationen? Falsch! Pragmatisch und leichtgewichtig aufgesetzt, macht ein IMS in einer agilen Organisation Sinn. Gerade weil in agilen Organisationen die bereichsübergreifende Zusammenarbeit eine zentrale Rolle spielt, kann ein IMS dort umso besser funktionieren. Viele IMS-Prozesse sind zudem für den Einsatz agiler Methoden wie gemacht. So bietet sich zum Beispiel ab einer gewissen Organisationsgröße ein für alle Beteiligten zugängliches sogenanntes „Agile Board“ an, um Korrekturmaßnahmen und Risikobehandlung zu steuern. Als pragmatische Methode für die Risikobewertung bietet sich das aus der Sprintplanung bekannte „Relative Schätzen“ an, wenn eine belastbare Datengrundlage nicht mit vertretbarem Aufwand hergestellt werden kann. Wenn Korrekturmaßnahmen ihre beabsichtigte Wirkung verfehlt haben, kann eine Team-Retrospektive mit den Beteiligten Erkenntnisse über die Ursachen des Scheiterns auf der Beziehungsebene liefern, die bei einer rein prozessbasierten Analyse verborgen bleiben. Anforderungen des IMS an ein Entwicklungsprojekt lassen sich spezifisch im Product Backlog festhalten, sodass nachträgliche Anpassungskosten vermieden werden.
Priorität 2: Prozesse
Auch in einer modernen, agilen Organisation ist ein gewisses Mindestmaß an festgeschriebenen Prozessen integraler Bestandteil eines IMS. Mit welchen Werkzeugen diese umgesetzt werden, ist an dieser Stelle noch nachrangig. Stattdessen sind gerade am Anfang simple, leicht skalierbare Lösungen gefragt, die wirklich gelebt werden können und durch die gehobenen Verbesserungspotentiale bereits nach kurzer Zeit einen spürbaren Mehrwert bei der täglichen Arbeit bieten. Um mit einem IMS schnell erste Ergebnisse zu erzielen, sollten inhaltliche Fragen im Fokus stehen: Welche Prozesse sind sich bereits in den Teilsystemen so ähnlich, dass sie ohne weiteres zusammengeführt werden können? Welche Prozesse können hingegen nur mit viel Aufwand harmonisiert werden und müssen deshalb noch warten? Gibt es Prozesse, die ersatzlos gestrichen werden können?
Priorität 3: Werkzeuge
Erst aufbauend auf Menschen und Prozessen macht es Sinn, darüber nachzudenken, welche Werkzeuge, also zum Beispiel IMS-Software, eingesetzt werden. Es gibt viele Anbieter für IMS-Software. Für den Anfang sind jedoch einfache, bewährte Tools in den meisten Organisationen die beste Lösung. Oft sind in den einzelnen Managementsystemen bereits Lösungen vorhanden, die sich leicht für das IMS adaptieren lassen. Eine sofort verfügbare Excel-Tabelle mit den nötigsten Eigenschaften ist meist besser als eine teuer eingekaufte Software. Insbesondere, wenn diese erst noch an die Organisation angepasst werden muss. Mit fortschreitendem Reifegrad des IMS wird sich zeigen, ob sich mit der Anschaffung einer IMS-Software weitere Verbesserungspotentiale nutzen lassen. Essentiell ist hierbei immer, dass das Tool ohne großen Aufwand individuell konfigurierbar ist, um mit der Entwicklung des IMS Schritt zu halten.
Welche Unterstützung macht Sinn?
Eine fachkundige Beratung kann bei der Umsetzung eines IMS helfen, Potentiale zu erkennen und kostbare Ressourcen wertschöpfend zu verwenden. Mit Beratungsschwerpunkten unter anderem in den Bereichen Work Smart und Managementsysteme verbindet migosens genau die richtigen Kompetenzen für die Umsetzung eines IMS. Mit jedem Kunden gehen wir bedarfsgerecht nach dessen organisationsspezifischen Bedürfnissen sowie pragmatisch und praxisnah vor. Dadurch können unsere Kunden die Beratungsergebnisse im Tagesgeschäft schnell gewinnbringend einsetzen.
Unsere Coaches im Bereich Work Smart unterstützen Organisationen dabei, ihre Kultur auf eine produktive, bereichsübergreifende Kooperation auszurichten, neue Arten der Zusammenarbeit auszuprobieren und ein leistungsdienliches Arbeitsumfeld zu schaffen. Dabei arbeiten sie Hand in Hand mit unseren erfahrenen Managementsystem-Beratern mit umfangreichem Knowhow und Erfahrung in den Schwerpunkten Informationssicherheit und Qualitätsmanagement. Diese unterstützen unsere Kunden fachlich und methodisch bei der anforderungsgerechten Umsetzung des IMS, auf Wunsch von der Bestandsaufnahme über die erstmalige Einführung bis zur kompetenten Betreuung sämtlicher IMS-Prozesse im laufenden Betrieb.
Zum Autor:
Stephan Auge ist Teamleiter für den Bereich Managementsysteme. Bei der migosens GmbH liegt sein Schwerpunkt auf der Implementierung von Managementsystemen, vorrangig von Informationssicherheitsmanagementsystemen nach ISO27001 und ISO9001. Auch die Prozessoptimierung und Beratungen zum Risikomanagement zählen zu seinen Aufgaben. Darüber hinaus ist Stephan Auge als Lead Auditor für die ISO27001, den IT-Sicherheitskatalog und Kritis-Prüfungen beim TÜV Rheinland bestellt.
