Das Fachmagazin der DQS für Managementsysteme und impulsstarke Audits

Nr. I 2018

Rudolph Logistik – Alles erreichbar

Mit Quiz zu ISO 45001

Den ersten Schritt hin zur Logistikbranche machte der ideenreiche Fuhrunternehmer Jus-tus Rudolph 1962, als er von Volkswagen den Auftrag erhielt, die Gebietsspedition für den Raum Nordhessen, Südniedersachsen und Teilen Ostwestfalens zu übernehmen. Zu die-sem Zweck entstand am Unternehmenssitz die erste Umschlaghalle nebst Büro. Über die Jahr-zehnte nahm die Bedeutung der Logistik-Sparte immer mehr zu, und seit dem Verkauf der letz-ten Stückgutaktivität Anfang 2005 baut das Unternehmen ausschließlich und mit großem Erfolg auf Kontraktlogistiklösungen. Ein Blick auf das aktuelle Portfolio der Rudolph Logistik Gruppe (RLG) macht den Wandel deutlich: Ver-teilt über 40 Standorte in Europa, den USA und den Vereinigten Arabischen Emiraten fokussiert die RLG heute auf vier Geschäftsfelder, deren Leistungen sich in der Wertschöpfungskette als hoch intelligente Schnittstelle einfügen.

Starkes Geschäftsfeld Automotive Die Leistungen des umsatzstärksten Geschäfts-feldes Automotive (52,8 %) zielen u. a. auf die Verfügbarkeit der von der Automobil- und Zulie-ferindustrie benötigten Einzelteile, und zwar in der richtigen Stückzahl, zur richtigen Zeit und am richtigen Ort – eine Dienstleistung, die angesichts der zunehmenden Variantenvielfalt im Automobilbereich immer komplexer wird.

Das Angebot gliedert sich in: Werkslogistik mit dem Betrieb von Lieferanten-Logistikzentren; Produktionsversorgung just-in-time bzw. just-in-sequence direkt an die Verbauorte; pro-duktionsnahe Aufgaben wie Vormontagen, Waschen, Entfetten; klassische Lagerlogistik mit Wareneingang, Kommissionieren, Konfek-tionieren, Warenausgang; Ersatzteillogistik mit passgenauen Versorgungs- und Distributions-konzepten; Value Added Services, z. B. Quali-tätskontrollen und andere Leistungen.

Maßgeschneiderte SystemverkehreDas zweite große Geschäftsfeld sind System-verkehre (32,6 %). Dieses Angebot ist bran-chenübergreifend und wird jeweils auf die einzelnen Transportaufgaben zugeschnitten. Dabei geht es im Kern um Beschaffungslo-gistik (u. a. Gebietsspedition, Bewirtschaftung von Konsolidierungslägern), Distributionslogis-tik (u. a. Planung und Steuerung von Distribu-tionsnetzwerken, Distribution von Ersatzteilen, Versorgung von Händlernetzen) und zeitfens-tergesteuerte Verkehre wie Just-in-time- und Just-in-sequence-Transporte. Ergänzt wird das Portfolio durch Angebote in den Geschäftsfel-dern Industrie- und Handelslogistik mit einem Umsatzanteil von 8,5 bzw. 6,1 % (weitere Details auf Seite 5).

Die Anfänge waren bescheiden. Als Justus Rudolph 1946 im nordhessischen Guntershausen sein Fuhrunternehmen gründete, besaß er gerade einmal einen Laster mit Holzvergaser, den seine Söhne Hans und Karl aus Altbestän-den zusammengezimmert hatten. Seither hat sich das heute von Urenkel Dr. Torsten Rudolph geführte Familienunternehmen Schritt für Schritt zu einem internationalen Logistikdienstleister entwickelt – ein Ende des Wachstums ist nicht in Sicht. Seit 2009 immer und überall dabei: das umfassende, von der DQS zertifizierte integrierte Managementsystem, das für den nachhaltigen Erfolg der Rudolph Logistik Gruppe eine bedeutende Rolle spielt.

Das Managementsystem aus Sicht der DQS-Auditoren

DQS-Auditoren Wilhelm Brakhahn (li.) und Andreas Völkerding

Die Rudolph Logistik Gruppe hat auf Betreiben ihres Geschäfts-führers, Dr. Torsten Rudolph, in den vergangenen Jahren erfolg-reich ein integriertes Manage-mentsystem aufgebaut und von der DQS zertifizieren lassen. Das System ist – gerade mit Blick auf die vor Jahresfrist eröffne-te Lean- und Lernwerkstatt – ein Benchmark für die Branche. Was dort an Know-how vermit-telt wird, wirkt tief in das Unter-nehmen hinein. Das Besondere dabei: Es geht nicht nur um die Vermeidung von Verschwendung. Das Einüben von Arbeitsabläufen ist auch ein veritables Instrument zur Bereitstellung gesunder und sicherer Arbeitsplätze. Denn nicht nur die Beschäftigten lernen u. a. den Warenfluss und wesentli-che Sicherheitsbelange kennen; auch für das Unternehmen bieten die intensiven Trainingseinheiten beste Chancen, ihre (SGA-)Pro-zesse fortlaufend zu verbessern – ISO 45001 kann kommen!

wilhelm.brakhahn@dqs.deandreas.voelkerding@dqs.de

Intelligente Schnittstellein der Wertschöpfungskette

2

Nr. II 2014Nr. I 2018

Umfassend und ganzheitlich: das IMSNach dem Umbau zum reinen Logistikdienst-leister wurde schrittweise das integrierte Managementsystem (IMS) etabliert. Was bereits 2001 mit der ersten Zertifizierung nach VDA 6.2 in Verbindung mit ISO 9001 am Standort Kassel begann, umfasst heute am Großteil der Standorte Zertifizierungen nach folgenden Regelwerken, meist im Matrixver-fahren:

Als Beweggründe bzw. Auslöser für die Einfüh-rung des IMS nennt Tobias Hauk, der verant-wortliche Leiter, die Stichwörter Kundenanfor-derungen, Wettbewerbsvorteil für kommende Ausschreibungen, Weiterentwicklung des Managements und Imageverbesserung. Das IMS-Team besteht aus 9 Mitarbeitern bzw. Experten in der zentralen Abteilung und 27 lokalen, aus der Zentrale geführten Manage-mentbeauftragten; innerhalb des IMS-Teams herrscht eine nutzenbringende, regelwerks-übergreifende Qualifikation. Neben weiteren Fachkräften, die als interne Auditoren (5) bzw. Prozessauditoren (15) im Bereich Automotive (VDA 6.2 und VDA 6.3) ausgebildet sind, ver-

Drei Fragen an Tobias Hauk und Heiko SchönbergDiD: Herr Hauk, wie sind Sie auf die DQS als Ihr Zertifizierungspartner gekommen?Tobias Hauk: Die DQS war bereits vor meinem Einstieg in die RLG ein langjähriger Partner im Bereich der Zertifizierungen. Rückblickend auf die Zusammenarbeit in den vergangenen sechs Jahren kann ich diese Entscheidung ohne Weiteres teilen. Mit jedem Audit und jedem Verbesserungspotenzial sammeln wir neue Erkenntnisse und profitieren von den langjährigen Erfahrungen unserer DQS-Auditoren. Herr Schönberg, wenn Sie an den Umstieg auf ISO 45001 denken: Welche Chancen sehen Sie in der Bereitschaftsbewertung, die vor dem eigentlichen Zertifizierungsaudit stattfindet?Heiko Schönberg: Jeder interpretiert Revisionen und neue Norm-Texte anders. Die Bereit-schaftsbewertung gibt uns die Chancen, unsere Interpretationen und Ideen zur zukünftigen Umsetzung vorab bewerten zu lassen. Meine Herren, was raten Sie anderen Unternehmen mit Blick auf den Erfolg Ihrer Lean- und Lernwerkstatt – halten Sie das Modell generell für übertragbar? Heiko Schönberg: Unterweisungen werden oft als Last angesehen, und dennoch müssen sie durchgeführt werden; viele Gesetze und Verordnungen zwingen die Unternehmen dazu. Wenn man schon unterweisen muss, dann sollte man dies auch wirksam tun. Weg von Präsentatio-nen hin zur Praxis, was letztendlich das Handeln unserer Mitarbeiter sicherer und auch quali-tativ hochwertiger macht.

Tobias Hauk: Der Schlüssel zum Erfolg unserer LLW liegt in der spielerischen Wissensver-mittlung in Bezug auf die Grundlagen des Lean-Managements, der Wichtigkeit der Einhaltung von Standards und der Anregung zur Selbstreflexion und Selbstoptimierung. Egal ob Führungs-kraft oder operativer Mitarbeiter – durch direkte Anwendung und den daraus resultierenden „Aha-Effekt“ lernt man nachhaltig.

Verantwortlich für die Managementsysteme

Tobias Hauk (li.)2011 Start bei RLG als Betriebs-stättenleiter, seit 2012 Mitarbei-ter IMS, seit 2017 Leiter IMS. Ausbildung: Groß- und Außen-handelskaufmann Studium: Ökonom für Logistikma-nagement, VWA Kassel Weiterbildungen seit 2011: QMB, UMB, interner Auditor VDA 6.2, interner Prozessauditor VDA 6.3, AMB, Luftfrachtsicherheitsbeauf-tragter, EMB

Heiko SchönbergSeit 8/2014 Fachkraft für Arbeits-sicherheit und Brandschutzbe-auftragter für alle deutschen Standorte, seit 2015 Arbeitsschutzmanage-mentbeauftragter, seit 6/2016 betrieblicher Gesundheitsmanager, seit 9/2017 leitende Fachkraft für Arbeitssicherheit. Meisterabschluss: Industriemeis-ter Logistik/Kraftverkehr 2014 Abschluss der Ausbildung Fach-kraft für Arbeitssicherheit Weiterbildungen seit 2014: QB, UMB, AMB, BGM

www.rudolph-log.com

Regelwerk seit Umstellung auf JahrVDA 6.2 2001 3. Ausgabe 2017 2018ISO 9001 2009 ISO 9001:2015 2017ISO 14001 2012 ISO 14001:2015 2017BS OHSAS 18001 2013 ISO 45001:2018 2019

ISO 50001 2016 ISO 50001:2019 2019

Rudolph Logistik Gruppe – Zahlen, Daten, Fakten für 2017

Geschäftsführung CEO: Dr. Torsten Rudolph (geschäftsführender Gesellschafter)COO: Peter Weide (operatives Geschäft)

Gründung 1946 in Guntershausen (heute Baunatal)Anzahl Mitarbeiter > 4.500 kaufmännische und gewerblicheUmsatz ca. 355 Mio. Euro

Standorte 40 in Deutschland, Bulgarien, Großbritannien, Luxemburg, Österreich, Portugal, Ungarn, den USA, den Vereinigten Arabischen Emiraten

Fläche 1,4 Mio. Quadratmeter bewirtschaftetGeschäftsfelder Automotive, Systemverkehre, Industrielogistik, Handelslogistik

Leistungsspektrum Beschaffungslogistik, Warehousing, Produktionslogistik, Distributionslogistik, Fulfillment, Value Added Services

Zertifizierungen ISO 9001:2015, ISO 14001:2015, VDA 6.2, BS OHSAS 18001, ISO 50001, Reglementierter Beauftragter, AEO-F

3DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. I 2018

�Handel�Industrie

�Systemverkehre

�Automotive

8,5 %

52,8 %

32,6 %

6,1 %

Das Regelwerk: ISO 45001

Die neue ISO-Norm für „Sicherheit und Gesundheit bei der Arbeit“ (SGA) wurde am 12. März 2018 veröffentlicht. Gegenüber der Vor-gängernorm BS OHSAS 18001, die nach Ende der Übergangs-frist am 11. März 2021 abgelöst

wird, birgt die neue Norm einige Vorteile, u. a. aus der gemein-samen Grundstruktur der neuen ISO-Managementsystemnormen: ISO 45001 ist prozessorientiert, risikobasiert und berücksich-tigt die relevanten interessier-ten Parteien. Die Grundaufgaben für den Umstieg lauten deshalb: die interessierten Parteien und die internen und externen The-men mit Einfluss auf die Aktivität der Organisation ermitteln, den Geltungsbereichs des Manage-mentsystems unter Berücksich-tigung von Zielen festlegen und mithilfe dieser Informationen die Prozesse implementieren. In diesem Zusammenhang gilt es, mögliche Risiken zu betrach-ten und zu bewerten und Leis-tungskennzahlen (KPI) festzu-legen. Die bewährten Tools von BS OHSAS 18001 können hinge-gen übernommen werden.

Ihre Fragen beantwortet gern:andreas.ritter@dqs.de

fügt das Unternehmen auch über einen Lean-Manager. Seine Aufgabe ist es, das 2011 in Zusammenarbeit mit dem Fraunhofer-Institut für Integrierte Schaltungen entwickelte Lean-Management der RLG voranzubringen und an den Standorten zu unterstützen. Dabei kom-men Methoden wie 5S-Standard, Shopfloor-Management oder auch das erfolgreiche Ideen-Management zur Förderung und Prä-mierung von Mitarbeiter-Ideen zum Einsatz, die sog. „Rudolph Logistik SchatzKiste“. Zwölf speziell für die Förderung des fortlaufenden, hier nach wie vor als „kontinuierlich“ verstan-denen Verbesserungsprozesses ausgebildete Trainer veranstalten an den Standorten „KVP-Events“, um die Mitarbeiter für den Prozess zu sensibilisieren. Die „KVP-Trainer“ sind auch in der vor einem Jahr eröffneten, äußerst inno-vativen Lean- und Lernwerkstatt aktiv – dazu später mehr.

ISO 45001 – Vorbereitung auf den Umstieg Sicherheit und Gesundheit bei der Arbeit (SGA), wie es bei ISO 45001 nun heißt, spielt in einem Logistikunternehmen eine wichtige Rolle. Vieles hat die RLG schon mit BS OHSAS 18001 bewirkt – den Umstieg auf ISO 45001 vor Augen, wird nun weiter an wichtigen Details gefeilt – z. B. was die „Bestimmung rechtlicher Verpflichtungen und anderer Anforderungen“ betrifft. Die neue SGA-Norm thematisiert dies in Abschnitt 6.1.3, und zwar mit Blick auf mög-liche Risiken. Die RLG implementiert gerade in Zusammenarbeit mit der Martin Mantz GmbH ein webbasiertes Compliance-Management-System, den sog. GEORG (gerichtsfeste Orga-nisation). Als Grund nennt das Unternehmen Ergebnisse interner und externer Audits. Es fiel auf, dass nicht immer ganz klar war, welche Aufgaben sich aus Gesetzestexten ergeben und wie delegiert werden kann. Die übertra-genen Rechte und Pflichten wurden teils nicht ausreichend kontrolliert. GEORG wird hier klare Abgrenzungen schaffen und die Verantwortli-chen benennen. Das Risiko des Organisations-verschuldens wird dadurch auf ein Minimum reduziert.

Behörden als PartnerBehörden wie Regierungspräsidium, Gewerbe-aufsicht und Berufsgenossenschaft sind inter-essierte Parteien (Kapitel 4.2). RLG sieht diese als Partner, zu denen sie engen Kontakt pflegt. Führungskräfte sind z. B. zur Weiterbildung bei der Berufsgenossenschaft verpflichtet, Stich-

wort: Verantwortung im Arbeitsschutz. Nie-derlassungsleiter müssen binnen zwei Jahren nach der Übernahme ihrer Position entspre-chende Seminare besuchen. Vom Team- bis zum Bereichsleiter wird es außerdem künf-tig ein Portfolio an internen und externen Schulungen und Weiterbildungsmaßnahmen geben, die systematisch über das Mitarbeiter-Jahresgespräch vereinbart werden. Dazu gibt es zurzeit 60 Sicherheitsbeauftragte an den deutschen Standorten, die in die Schulun-gen eingebunden sind und sich jährlich zum Austausch treffen. An den deutschen Stand-orten finden jährlich 75 ASA-Sitzungen statt, und zwar in kleinen Arbeitskreisen. So können standortspezifische Themen gezielt bespro-chen werden.

Gefahren beseitigen, SGA-Risiken verringernEin Beispiel mit Bezug auf Abschnitt 8.1.2 – Gefahren beseitigen und SGA-Risiken verrin-gern: Ein großes Gefahrenpotenzial geht von Fremdfirmen und Subunternehmen aus! In der Praxis kommt es nach Aussage von Heiko Schönberg, der leitenden Fachkraft für Arbeits-sicherheit, oft zu Missverständnissen, die meist auf mangelnde Sprachkenntnisse des Fremdpersonals wie etwa LKW-Fahrer zurück-zuführen sind. Zudem werden Gefährdungen unterschätzt, da Besucher oder Fremdmitar-beiter meistens keine Staplerfahrer sind und so einiges an Wissen und Verständnis für Gefahren fehlt. Hier gilt es, unfallträchtige Situ-ationen bereits im Vorfeld, z. B. durch Audits bei Subunternehmen und Sicherheitseinwei-sungen vor Ort, zu minimieren. Eine entspre-chende „Fremdfirmenrichtlinie“ ist bereits seit Einführung des AMS nach BS OHSAS 18001 etabliert. Gefahr im Arbeitsalltag herrscht auch durch den Flurförderzeuge-Verkehr (Gabelstap-ler) in und vor den Lagerhallen. Die Fahrzeuge treffen ständig auf Personen, die zu Fuß ihrer Arbeit nachgehen, dabei aber die Gefahr durch die Stapler unterschätzen. Dazu wurde ein

Andreas RitterDQS-Experte / Auditor

Umwelt- und Arbeitsschutz

4

Nr. II 2014Nr. I 2018

„Nachhaltig verankern, was unsere Mitarbeiter in der Lean- und Lernwerkstatt erfahren – das ist kein Sprint, das ist ein

Marathon.“Peter Weide, Generalbevollmächtigter

Rudolph Logistik Gruppe

Portfolio Rudolph Logistik Gruppe

Logistische DienstleistungenAutomotive��Werkslogistik �� Produktionsversorgung�� Produktionsnahe Aufgaben�� Lagerlogistik�� Ersatzteillogistik�� Value Added Services

Industrie�� Bewirtschaftung interner und externer Läger�� Versendung und Rückführung von Halbfertigzeugen zur Lohn-bearbeitung oder an verlängerte Werkbänke �� Bereitstellung von Roh-, Ferti-gungs- und Kaufteilen an den Verwendungsstellen�� Shuttle-Transporte zwischen Lager-/Produktionsstandorten�� produkt- und transportspezifi-sche Verpackung�� Versandabwicklung inkl. Zoll

Handel�� individuelle Lagerlösungen�� effiziente Kommissionierung�� intelligentes Datenmanagement�� POS-optimierte Konfektionierung�� Value Added Services

Systemverkehre�� Beschaffungslogistik�� Distributionslogistik�� zeitfenstergesteuerte Verkehre

neues Schulungskonzept entwickelt, das von zwei zentralen Ausbildern umgesetzt, und von weiteren fünf lokalen Trainern an den Standor-ten in Deutschland unterstützt wird.

Die Lean- und Lernwerkstatt Im Mai 2017 wurde die Lean- und Lernwerkstatt (LLW) als innovative Trainingseinrichtung auf 1000 qm Innen- und 500 qm Außenfläche eröff-net – durchaus auch mit Blick auf ISO 45001, aber vor allem, um alle relevanten Arbeitssitua-tionen optimal simulieren zu können, und zu zei-gen, wie Lean-Management in der praktischen Arbeit umzusetzen ist. Im Unternehmen ist man mit Recht stolz auf die LLW, aufgebaut vom Lei-ter der Einrichtung, Fabian Benedetti, Betriebs-wirt für Logistik und mit allen Regelwerken ver-trauter interner Auditor.

Ausstattung wie Anordnung der Trainings-stationen entsprechen den Betriebsabläufen. Das LLW-Team besteht aus vier Mitarbeitern, die für die Seminarorganisation, die Schu-lungen und die Erstellung weiterer Trainings-Konzepte zuständig sind. Jedes Training wird zudem von KVP-Trainern unterstützt, die hauptberuflich andere Funktionen bekleiden.

Die Aufgaben der LLW sind vielfältig, wobei zwei Dinge im Vordergrund stehen: Neue Mit-arbeiter aus anderen Berufsgruppen erhalten durch den simulierten Warenfluss einen Über-blick über das Ganze und ein Verständnis für

die vor- und nachgelagerten Prozesse. Sie ler-nen dabei, wie wichtig und sinnvoll es ist, nach (Kunden-)Standards zu arbeiten und dadurch Fehler zu vermeiden. Und sie lernen das kom-plette Unternehmen kennen, was die RLG für besonders wichtig hält. Immer im Fokus: der Arbeitsschutz mit all seinen Facetten. Dazu gehören die Themen Stapler-Sicherheit (mit der Möglichkeit, den Stapler-Führerschein zu machen), Unfallvermeidung, Umgang mit Gefahrgut, Ladungssicherung und vieles mehr; außerdem der wichtige Bereich Arbeit und Gesundheit, Stichwort BGM.

AusblickDas Unternehmen hat es sich laut Peter Weide, dem Generalbevollmächtigten der RLG, zur Aufgabe gemacht, das wertvolle, in der LLW erworbene Können und Wissen an die Stand-orte außerhalb Deutschlands und über Europa hinaus zu bringen. Dabei geht es vor allem darum, dieses Vorhaben ökonomisch sinn-voll, aber ohne wesentliche Einschränkungen umzusetzen. „Einfach mal einen LKW beladen und die LLW mobil zu machen, das“, so Weide, „geht leider noch nicht.“

5DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. I 2018

Der Branchenkreis Automotive Hannover traf sich am 20. März 2018 zu einem Erfahrungsaustausch in der Lean- und Lernwerkstatt (LLW) der Rudolph Logistik Gruppe in Baunatal. Nach der Begrüßung durch den Leiter des Erfa-Clubs Hannover, DQS-Auditor Wilhelm Brakhahn, stellte Peter Weide, Leiter Automotive und Gesamtgeschäftsleitung, sein Unternehmen vor. Dazu präsentierte Fabian Benedetti, Leiter der LLW, den Gästen den Nutzen der LLW und erläuterte, wie sich die „Werkstatt“ in den letzten Monaten in der Gruppe etabliert hat. Anschließend stellte er die Trainingsstationen vor, die den Teilneh-mern einen Einblick in Logistikgrundlagen, Lean-Management,

Arbeits- und Gesundheitsschutz, Ergonomie, Umwelt und Energie ermöglichten. Schließlich konnten die Gäste Trainingsthemen wie KLT-Tetris, 5S-Zahlenspiel und Schraubenspiel selbst ausprobieren und dabei den Aha-Effekt von Arbeiten mit Standards, Eliminierung von Verschwendung und Arbeitsplatzorganisation erfahren. Zitat des Tages: „Die Lean- und Lernwerkstatt ist ein Leuchtturm der Logistik-branche, der die Veränderungsbereitschaft eines mittelständischen Unternehmens sehr gut widerspiegelt.“

Infos zur LLW unter: ims@rudolph-log.com

DQS-Erfa-Club Hannover besucht Lean- und Lernwerkstatt

Fabian Benedetti, Leiter der Lean- und Lernwerk-statt (LLW) der Rudolph Logistik Gruppe in Baunatal

LEITG

EDAN

KEN

Sehr geehrte Leserin, sehr geehrter Leser,Informationssicherheit und Datenschutz sollten in einem Unternehmen einen hohen Stellenwert innehaben. Auch das noch? Ja, denn Daten sind wertvoll – vielleicht sogar die neue Währung im Informationszeitalter. Schon heute schützen sich Unternehmen vor Cyberkriminalität, Hacker-Angriffen und Datendiebstahl. Und auch der Gesetzgeber nimmt Unternehmen in die Pflicht, Stich-wort Compliance.

Ein aktuelles Beispiel ist die neue Datenschutz-Grundverordnung (DS-GVO), die seit Mitte Mai nach zweijähriger Schonfrist nun „plötzlich“ zur Anwendung kommt. Wie der Presse zu entnehmen war, sind viele Unternehmen schlicht unvorbereitet. Wenn man bedenkt, dass bei Nichteinhaltung der DS-GVO durchaus Millionenstrafen drohen können – bis zu 4 % des Jahresumsatzes(!) –, sind diese Versäumnisse geradezu fahrlässig.

Wer ist in der Pflicht? Informationssicherheit und Datenschutz sind Chefsache! Die Initiative für ein geeignetes Managementsystem, z. B. für Informationssicherheit gemäß ISO/IEC 27001, muss von der obersten Leitung ausgehen. Ihr obliegt es, Rollen und Funktionen zu bestimmen, Ressourcen bereitzustellen, die Umsetzung zu initiieren und zu überwachen. Natürlich sollen realistische Ziele zum Schutz der Organisation gesetzt werden und zwar in beide Richtungen: Gegen die Bedrohung aus dem Netz und zur eigenen Rechtssicherheit.

Die Kernaufgabe ist klar umrissen: die Verfahren zur Datenverarbeitung bestimmen, Rollen und Ver-antwortung delegieren, für Transparenz sorgen. Während zur Bewältigung einzelner Aufgaben Ver-antwortung delegiert werden kann, verbleibt die Rechenschaftspflicht, die Gesamt verantwortung für die Wirksamkeit des Managementsystems, doch bei der obersten Leitung.

„Wie viele Managementsysteme denn noch?“, werden Sie jetzt vielleicht fragen. Meine Antwort: Sie brauchen nur ein einziges, in das alle Führungsaspekte integriert werden. Die Voraussetzungen dafür haben sich seit der großen ISO-Revision von 2015 wesentlich verbessert. Ein Management-system, das Anforderungen unterschiedlicher Regelwerke unter einen Hut bringt, ist für einen nach-haltigen Unternehmenserfolg die einzig wirtschaftlich sinnvolle Option.

Ihr Stefan Heinloth Geschäftsführer DQS GmbH

ISO 9001 – Erfahrung aus über viertausend DQS-Audits 8

Prozesse verstehen – Cyber Physical Systems

10ISO 9001 und ISO/IEC 27001

in Zeiten der Digitalisierung14

ISO 45001 – Quiz zur neuen SGA-Norm

16ISA+ Informations- Sicherheits-Analyse 18

INHALT Eine Insel mit zwei Bergen … als der Kontext noch übersichtlich war „Eine Insel mit zwei Bergen“ liest sich puppenkisten-romantisch und vor allem überschaubar. Eine Insel. Zwei Berge. Vielleicht noch ein bisschen Eisenbahnverkehr. Fertig. Ganz so einfach ist es heute nicht mehr. Es ist unübersichtlich, dynamisch und schnelllebig geworden. Und das bringt enorme organisationale Anforderungen mit sich.

Neben der allgemeinen Anforderung, dass jede Organisation nun agil zu sein hat, muss sie auch noch die Digital Transformation, die Social Collaboration und nicht zuletzt noch die eine oder andere Norm berücksichtigen oder gar erfüllen. So ist man dann angeblich für die Zukunft „gut aufgestellt“. Da wird es der einen oder anderen Organisation dann auch mal schnell zu viel,

Nr. II 2014Nr. I 2018

6

STAN

DPUN

KT

was dazu führt, dass z. B. Themen gänzlich ignoriert werden. Doch das ist keine gute Lösung. Gut ist darum der beraten, der zwi-schen den neuen Trendthemen möglichst große Schnittmengen findet: Denn dann heißt die Lösung „Synergien“ statt „Redun-danzen“.

Um die vermutete Schnittmenge fin-den zu können, müssen wir einen Blick auf die einzelnen Themen werfen. Starten wir mit der vielzitierten digitalen Transfor-mation. Leider herrscht vielerorts noch immer die Meinung vor, dass diese ein Thema der IT sei. Nicht zuletzt deswegen werden dann IT-Experten auf dieses Pro-jekt angesetzt. Das wäre aber genauso, als würde man versuchen, eine erfolg-reiche Landwirtwirtschaft ausschließlich mit einem modernen und gut gewarteten Traktor zu betreiben. Sicher ist der Traktor ein notwendiges Hilfsmittel; aber ein Trak-tor macht keine Landwirtschaft aus. Die digitale Transformation betrifft alle Berei-che, was nach sich zieht, dass vor allem in digitale Kompetenzen investiert wer-den muss. Diese Investition ergibt dann einen Sinn, wenn die Möglichkeiten, aber auch die Risiken der digitalen Vernetzung erkannt werden. Also muss dem Was und Wie zwingend das Wozu folgen.

Das bedeutet: Es sind Visionen und Strategien erforderlich. Betrachtet man diese Punkte genauer, dann wird schnell offensichtlich, dass es reichlich Anknüp-fungspunkte zu ISO 9001 gibt: Ziele, Kon-text, Chancen, Risiken, Wissen, Kompe-tenz und: Kommunikation. Digitale Trans-formation heißt auch, dass wir nicht mehr nur im Büro und in der Abteilung, sondern über Abteilungs-, Betriebs- und ja, auch über Unternehmensgrenzen, quer durch alle Disziplinen hinweg zusammenarbei-ten werden – und das müssen wir sogar! Somit haben wir eine der wesentlichs-ten Schnittmengen zwischen digitaler Transformation und Social Collaboration: Kollaboration bedeutet nicht einfach nur projektbezogene Zusammenarbeit. Social Collaboration bedeutet eine ver-tiefte (soziale) berufliche interdisziplinäre, gleichberechtigte, offene, konstruktive Kollaboration einzugehen. Und das heißt wiederum: Die organigramm-manifes-

tierte Aufbauorganisation wird sekundär; das schlagkräftige sich selbstorganisie-rende Netzwerk wird primär. Damit ist das Thema bei der agilen Organisation ange-langt und die Schnittmenge wird noch größer. Selbstorganisation bedeutet Ver-trauen von oben nach unten, von unten nach oben, aber auch nach allen Seiten hin. Vertrauen zu übertragen bedeutet, Verantwortung zu übertragen. Das hat in hierarchischen Organisationen einer ausgeprägten Mitzeichnungspflicht, aber anders betrachtet auch einer ausgepräg-ten Absicherungsmentalität wenig Tradi-tion. Das Umkippen von Aufbau- hin zu Prozessorganisationen, die gerne auch fraktal organisiert sein können oder sol-len, zeigt die Dimension einer möglichen großen Schnittmenge an.

Es ist nicht mehr so einfach, aber es ist viel interessanter, spannender und vielseitiger geworden. Die Themen von ISO 9001 können hier viel mehr als nur Orientierung geben. Sie können als frei-willige, vielleicht auch notwendige Leit-planke gesehen und genutzt werden. Nicht nur von Führungskräften, sondern von allen Mitarbeitenden. Nicht zuletzt auch im Rahmen von internen und exter-nen Audits, in denen die richtigen Fragen gestellt werden: Welche externen Themen beschäftigen Sie? In welchem technologi-schen, sozialen und ökologischen Umfeld bewegen Sie sich? Was erwarten Ihre interessierten Parteien von Ihnen? Wie kommunizieren Sie wie oft mit wem? Wel-che Kanäle nutzen Sie dazu? Wie stellen Sie Ihr Wissen zur Verfügung? Wie stel-len Sie fest, welches Wissen Sie für eine erfolgreiche Zukunft benötigen? Wer hat welche Rolle bei Ihnen? Und so einfach und altbekannt diese Fragen klingen: Sie alle hinterfragen Agilität, digitale Transfor-mation und Social Collaboration. Sofern die Antwort nicht lautet: Wir haben hier nur eine Insel mit zwei Bergen. Und eine Eisenbahn.

Dr. Markus ReimerDQS-Auditormarkus.reimer@dqs.de

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. I 2018

7

FACH

MAG

AZIN

ISO 9001:2015 – EndspurtErfahrung aus über viertausend DQS-Audits zeigt: Es hakt noch immer!Eigentlich sollten die Schwierigkeiten bei der Umstellung von der alten auf die neue Version von ISO 9001 inzwischen der Vergangenheit angehören, gleichwohl: Es existiert nach wie vor eine Reihe von Themen, die von Organisationen nicht hinreichend verstanden oder umgesetzt werden – eine Zusammenfassung.

Prozessmanagement – das Thema galt eigentlich als verstanden, schließlich gehen die Anfänge dazu auf das Jahr 2000 zurück, als Prozessorien-tierung in ISO 9001 erstmals eine Rolle gespielt hat. Es zeigt sich jedoch, dass nach wie vor nicht jeder Organisation klar ist, was ISO 9001 eigent-lich unter einem Prozess versteht. Hier braucht es die Abgrenzung der Begriffe Prozess und Verfahren (z. B. Beschreibungen von Tätigkeiten etc.), so dass am Ende nicht 400, sondern vielleicht noch 15 oder höchstens 20 Prozesse übrigbleiben, für die die Anforderungen von ISO 9001 dann tatsächlich gelten.

Zu einem guten Prozessmanagement gehört auch die geeignete Zuordnung der Leistungsindika-toren. Gute KPIs müssen eine Aussage darüber tref-fen (können), ob der betreffende Prozess in der Lage ist, die gewünschten Ergebnisse zu produzieren. Wichtig ist hier besonders die interne Abstimmung mit Blick auf vor- und nachgelagerte Prozesse, was aber noch zu wenig getan wird. Beispiel Beschaf-fungswesen: Hier hebt ein KPI z. B. auf „Kosten“ ab, was meist auf „günstigen Einkauf“ hinausläuft. In der Produktion gelten jedoch Qualitätskriterien, wo meist „Liefertreue“ oder „Teilequalität“ entschei-dend sind. Die richtige Frage lautet also: Passen KPIs über Schnittstellen hinweg zueinander?

Risiken und Chancen – was meint die Norm damit?Beim Thema Risiko hat sich die Lage etwas beru-higt. Organisationen kommen immer mehr davon ab, BCM-Szenarien (Katastrophen, politische Ver-werfungen, Marktschwankungen etc.) mit relevan-ten Risiken in einem Unternehmen zu verwechseln. Dennoch muss noch einmal betont werden, dass die Norm mit Risiken in erster Linie Prozessrisiken meint. Die Frage, die sich Organisationen demnach stellen müssen, lautet: Welche Risiken bestehen, dass der Prozess das gewünschte Ergebnis nicht erzielt?

Zu diesem Anforderungsblock gehören auch die Chancen. Das Verständnis, was mit „Chance“ gemeint ist, nimmt langsam zu. Eine Chance ist oft mit einem Risiko verknüpft. Eine Chance kann z. B. darin bestehen, Ressourcen zu gewinnen. Um diese Möglichkeit oder Gelegenheit zu haben, muss jedoch evtl. ein höheres Risiko eingegangen wer-den. Das Unternehmen muss dann den Nutzen, der sich aus den zusätzlich gewonnenen Ressourcen ergeben kann, gegen das erhöhte Risiko abwägen, also eine Güterabwägung vorzunehmen. Dazu kann es hilfreich sein, einfach einmal die Seiten zu ver-kehren und das Risiko so zu betrachten, als wäre es eine Chance – diese Methode liefert in der Regel einen veritablen Erkenntnisgewinn!

Nr. II 2014Nr. I 2018

8

Interessierte Parteien und RisikenBeim Blick auf Risiken (und Chancen) müssen auch die interessierten Parteien betrachtet werden: Von relevanten interessierten Parteien gehen Risiken, aber auch Chancen aus. Für die Organisation kommt es darauf an zu untersuchen, ob eine interessierte Partei (also ein Akteur) wirklich relevant ist. Das ist dann der Fall, wenn diese interessierte Partei tat-sächlich in der Lage ist, die Prozesse der Organi-sation so zu beeinflussen, dass die gewünschten Ergebnisse nicht erzielt werden. Dazu muss gesagt werden: Eine Dokumentation der relevanten interes-sierten Parteien wird nicht gefordert, ebenso nicht die Dokumentation von Prozessrisiken, aber: Es hat sich als sinnvoll erwiesen, wenigstens bei den drei bis fünf wichtigsten Prozessen das Wissen über die Prozessrisiken und der daran ggf. beteiligten inter-essierten Parteien, von denen diese Risiken ja nicht selten ausgehen, zu dokumentieren.

Einmalige Schlüsselkompetenzen – oder das Wissen der OrganisationSchließlich das Thema Wissen der Organisation: Hier geht es vor allem darum herauszufinden, bei wem Schlüsselwissen liegt, also Wissen, das erfolgskri-tisch ist. Wie kann Abwanderung von Schlüsselwis-sen verhindert werden? Wie alt sind z. B. Personen, die Schlüsselwissen tragen (Fluktuation aus Alters-gründen etc.)? Oder: Wie bindet man Personen mit solchem Wissen an ein Unternehmen (Fluktuation durch Abgänge)? Und: Wo genau steckt eigentlich das Schlüsselwissen – lediglich im Kopf von Per-sonen aller Ebenen, oder ist es bereits (teilweise) schriftlich hinterlegt, was ein guter Ansatz wäre? Klar ist allerdings auch: Es müssen nicht unbedingt umfangreiche Wikis respektive Wissensdatenban-ken angelegt werden, um die Anforderungen der Norm zu treffen.

Frank GraichenLeiter Auditorenmanagement & Kompetenzfrank.graichen@dqs.de

Neben den Erwartungen relevanter interessierter

Parteien stehen die erwarteten Ergebnisse im Fokus

Risiken & Chancen,dass Prozesse ihre Ergebnisse nicht erreichen, bzw. erreichen

Umfang der benötigten "dokumentierten Information“

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. I 2018

9

Prozesse verstehen Automatisierte Prozesslandschaften brauchen neue DenkansätzeVia Tablet das Sushi ordern, mit dem Smartphone die Haustechnik steuern oder sanft auf der Auto-bahn dahingleiten, teilautonom, versteht sich – das hat eher etwas von Lifestyle. Wenn hingegen ganze Branchen immer mehr auf vollautomatisierte, intelligente Systeme setzen, in denen Menschen allenfalls noch Kontrollfunktionen zukommen, dann sind Visionen von Industrie 4.0, wie sie jüngst auf der Hannover Messe proklamiert wurden, zum Greifen nah: künstliche Intelligenz, lernende Roboter, digitale Zwillinge.

Die Grundelemente der CPS, Quelle: www.offensive-mittelstand.de

Im beruflichen wie im privaten Leben sind die Entwicklungen der Automatisie-rung und deren Fortentwicklung zu spü-ren. Auch das regulatorische Umfeld zeigt diese Tendenz: das elektronische Han-delsregister, das Unternehmensregister, elektronische Steuer-Voranmeldungen und Übermittlung von Steuererklärungen, nun auch der digitale Bilanzbericht und vieles mehr.

Cyber Physical Systems überschreiten physische GrenzenHochentwickelte Sensoren und Aktoren, in Maschinen eingebettete Software, hochleistungsfähige, quantitativ unbe-grenzte Netze sowie komplexe autonome, selbst lernende Software wachsen zu Cyber Physical Systems (CPS) zusammen. Unstrittig anspruchsvoll ist die Steuerung solch beschriebener Systeme und deren Produkte oder Dienstleistungen. Bisher reichte es für Anwender meist aus, die entsprechende Software zu beherrschen.

CPS sind jedoch derart miteinander ver-knüpft, dass nicht nur die technischen Aspekte eine Rolle spielen – auch der Mensch und soziale Prozesse sind unmit-telbar betroffen.

Arbeitsabläufe sind automatisiert, in den jeweiligen Interaktionen sind Kom-munikationsregeln erforderlich, und nicht zuletzt müssen Entscheidungsparame-ter definiert werden und zur Anwendung kommen. Die Funktionsweise der einzel-nen Tätigkeiten im System muss erkannt und verstanden werden. Durch die Ver-netzung Mensch – Maschine – Maschine – Mensch werden physische Grenzen, Standorte oder Organisationseinheiten überschritten.

ISO 9001 als GrundgerüstZum Verständnis und Beherrschen der Funktionen dienen ausgearbeitete Pro-zesslandschaften und Prozessbeschrei-bungen. Hier öffnet sich die Welt der Managementsysteme mit Anforderungen

an eine Prozessorganisation, wie sie z. B. in ISO 9001:2015 gestellt werden. Im Kap. 4.4 sind z. B. die im „Bauplan“ Pro-zessmanagement für notwendig erach-teten „Bausteine“ im Sinne von „Best Practice“ beschrieben. Das Grundgerüst ist also vorhanden. Da überrascht es nicht, dass es auch in der CPS-Welt weiter Gültigkeit haben wird. Die Systematik der Grundlogik bleibt. Die abzubildende Welt ist aber vielfältiger, wesentlich anspruchs-voller und damit schwieriger.

Das Geschäftsmodell des Unterneh-mens bildet sich weitgehend im CPS ab. Auch die Erwartungen der interessier-ten Parteien lassen sich aus der Sicht des CPS ohne Probleme darstellen. Das Prozessdesign und das gewählte Ver-fahren zur Prozessnotation sollen dabei skalierbar sein. Klassische Flow-Charts zur Dokumentation von Arbeitsabläufen müssen allerdings erweitert, ihre Leistung verbessert werden. Die den CPS innewoh-nende, durch Vernetzung entstehende Komplexität führt zu nicht minder kom-plexen Prozessnotationen. Beispielsweise bestimmen schon heute regulatorische oder Compliance getriebene Elemente maßgeblich die Prozessabläufe. So wer-den in lernenden Systemen Eskalations-mechanismen eingeplant, die bei Eintritt von Bedingungen greifen.

Kritische Punkte: die SchnittstellenOhne Anspruch auf Vollständigkeit betrifft dies die ausführliche Beschreibung und überwachende Steuerung der Schnittstel-len. Dort fallen Wenn-dann-Entscheidun-gen, die definiert und gesteuert werden müssen. Eskalationsverfahren bei feh-lender algorithmischer Basis sind hoch

CPS Cyber

Physical Systems

Autonome Software

Algorithmen, semantische Technologien, Ontologien;

Künstliche Intelligenz

Big Data schnelle, quantitativ unbegrenzte Netze

aativtze

Sensoren Aktoren

In „Dinge“ eingebettete Programme

enn

IeinP

begrenzte

ensor

n, Ontologiehe Intellige

„Dinge“

Nr. II 2014Nr. I 2018

10

CPS – Cyber Physical Systems

CPS kombinieren die „reale“ Welt (Menschen, Arbeitsmittel, soziale Prozesse und Umgebungen) mit der „virtuellen“ Welt. Durch diese Ent-wicklungen entstehen Systeme, in denen Arbeitsmittel, Prozesse und Objekte bis hin zu Alltagsgegenständen durch Programmierbarkeit, Speichervermögen, Sensoren, Aktoren und Kommunikationsfähigkei-ten „intelligent“ werden. Sie tauschen eigenständig Informationen aus, lösen Aktionen aus und steuern sich gegenseitig selbständig.

Mehr unter: www.offensive-mittelstand.de/serviceangebote/mittel-stand-40/das-neue-am-mittelstand-40

Exkurs: „4.0“

Plakative Begriffe dienen der Verstärkung der Aufmerksamkeit. Asso-ziationsketten sind beabsichtigt: Industrie 4.0, Arbeit 4.0, Mittelstand 4.0, Prävention 4.0, XYZ 4.0 etc. Eingeführt wurde der Begriff 2013 im Abschlussbericht des Arbeitskreises Industrie 4.0 „Umsetzungsemp-fehlungen für das Zukunftsprojekt Industrie 4.0“ an das BMfBF durch die herausgebenden Professoren Kagermann und Wahlster. „4.0“ stellt den Bezug zu den drei bisherigen industriellen Revolutionen dar.

* Qualitätstor: Haltepunkte im Prozessablauf, in dem Prüfschritte oder Freigabeschritte erfolgen müssen, bevor der nächste Arbeitsschritt erfolgt

relevant – jetzt ist der Mensch mit seiner Lösungskompetenz gefordert. Regulatori-sche Vorgaben und/oder Anforderungen aus dem System interner Kontrollen las-sen sich mit dem Werkzeug „Qualitäts-tor“* in die Prozesse einbinden und zu einem ständigen bewussten Kontroll-Hal-tepunkt ausgestalten. So wie in der klas-sischen Organisation auch, sind in CPS Über- und Unterordnungen und damit ver-bundene Rechte und Pflichten aller Betei-ligten festzulegen.

Die Bedeutung von WissenDas Wissen der Menschen und somit der Organisation verlagert sich in Richtung lernender Software und steht nur noch indirekt zur Verfügung. Umso wichtiger sind die Verfahren zum Aufrechterhalten des sich wandelnden Wissens und damit die Verfügbarkeit in der Organisation. Die

Bedeutung von „Wissen“ wurde durch die explizite Aufnahme des Themas in ISO 9001:2015 (Kap. 7.1.6) unterstrichen. Die unter den Schlagwörtern mit dem Zusatz „4.0“ zu beobachtenden Entwick-lungen fordern komplexe, vernetzte Denk- und Handlungsweisen.

Fundamental für den Erfolg auf die-sem Weg ist das Verstehen der Funktio-nen (Rechte, ausgelöste Prozesse, Haf-tung, Freiheitsprozesse, Lernkriterien …) und Anforderungen in den Systemabläu-fen; reines Anwenden der CPS-Software reicht nicht mehr aus. Die notwendigen Anforderungen, die komplexen Sys-teme beherrschbar und somit steuerbar zu machen, lassen sich praktisch nur mit prozessorganisatorischen Manage-mentwerkzeugen erarbeiten. Neben den bereits erwähnten Überlegungen zur Pro-zessnotation und zur Verfügbarkeit orga-

nisationalen Wissens ergeben sich wei-tere Anforderungen aus der notwendigen Informationsqualität von Zahlen, Daten und Fakten sowie deren Vermittlung.

CPS erfordern die Neudefinition von Qualitätskriterien zur Erhebung relevan-ter Prozessdaten (Postulat: Klasse vor Masse), deren Verarbeitung und Präsen-tation zu Entscheidungszwecken: sei es, um die Lösungskompetenz des Menschen im Prozessablauf zu aktivieren oder zur Unternehmenssteuerung genutzt zu wer-den. Wie bereits heute erkennbar, werden fortentwickelte leistungsstarke Datenana-lyse- und Visualisierungssysteme in der Praxis Eingang finden: Eine Grafik wirkt stärker als eine Tabelle mit vielen Zahlen!

Werner ErlinghagenWirtschaftsprüfer und DQS-Auditor werner.erlinghagen@dqs.de

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. I 2018

11

Erste industrielle RevolutionEinführung mechanischer Anlagen mit Hilfe von Wasser- und Dampf-kraft

1870 erstes Fließband in der Fleischproduktion

Dritte industrielle Revolution Einsatz von Elektronik und IT zur weiteren Automatisierung

Vierte industrielle RevolutionArbeit auf der Basis von Cyber Physical Systems

Ende 18. Jhdt. Beginn 70er-Jahre 20. Jhdt.

1784 erster mechanischer Webstuhl

1969 erste speicherprogrammierbare Steuerung (SPS)

Beginn 20. Jhdt. heute

Zweite industrielle RevolutionEinführung arbeitsteiliger Massen-produktion mit Hilfe von elektri-scher Energie

Entwicklungsstufen zur 4. industriellen Revolution

www.offensive-mittelstand.de

Hat sich ISO 9001:2015 bewährt?Norm-Pionier SCHMIDT Technology mit Zertifikat der ersten Stunde Am 15. September 2018 jährt sich die Veröffentlichung von ISO 9001:2015 zum dritten Mal – die meisten Unternehmen haben den Umstieg inzwischen geschafft oder sind mitten drin. Andere haben ihr Zertifikat bereits kurz nach der Veröffentlichung im Herbst 2015 von uns erhalten. Diese „Norm-Pioniere“ überzeugten damals durch ihren Mut und ihren Tatendrang: Sie haben Neuland betreten, ohne auf Erfahrungen anderer zurückgreifen zu können. Eines der Unternehmen der ersten Stunde war SCHMIDT Techno-logy aus St. Georgen im Schwarzwald. Wir sprachen erneut mit Uwe Häußler, dem QMB des familienge-führten, international aktiven Technologieunternehmens, über seine Erfahrungen.

DiD: Herr Häußler, als wir Sie vor etwas mehr als zweieinhalb Jahren gefragt haben, wie Sie mit dem Thema Kontext der Organisation (Kap. 4.1) umgehen würden, haben Sie geantwortet, dass Sie ggf. Handlungsbedarf aus der Bestimmung von internen und externen Themenfeldern ableiten und umsetzen wollten, und zwar mit Blick auf die Fir-menstrategie. Können Sie uns dafür ein Beispiel nennen?Uwe Häußler: Ein Aspekt, bei dem wir in diesem Zusammenhang noch Handlungs-bedarf ermittelt haben, war die Rechts-sicherheit. Es gab kein einheitliches Sys-tem für alle verschiedenen Themenfelder zur Ermittlung der aktuellen Rechtslage. Wir haben dann unternehmensweit vier identisch strukturierte Rechtskataster mit Aktualisierungs-Service und -Benachrich-tigung für die Themenfelder Wirtschaft/Finanzen, Abfall/Umwelt, Arbeitsschutz/Energie und Technik aufgebaut. Für jedes Kataster wurden kompetente Verantwort-liche definiert, die notwendige Maßnah-men aus einer sich geänderten Gesetzes-lage veranlassen. Die Rechtskataster sind jedem Mitarbeiter über unser Intranet zugänglich.

Wie hätte sich die Situation ohne diese grundlegende Anforderung aus ISO 9001:2015 für Sie dargestellt?Hier haben wir schon lange unsere Stra-tegie und rollierende mittelfristige Unter-nehmensplanung als Basis auch für die Anforderungen an unser Qualitätsma-nagementsystem verwendet. Für uns hat sich nichts Grundlegendes geändert. Es gab natürlich, wie am genannten Beispiel zu sehen, auch Verbesserungen bei den Geschäftsprozessen, bei denen Anforde-rungen konkreter berücksichtigt wurden.

Thema interessierte Parteien (Kap. 4.2): Sie hatten damals im Managementteam die Liste Ihrer relevanten interessierten Parteien mit der ABC-Methode bestimmt und die entsprechenden Prozesse ergänzt. Welchen Nutzen sehen Sie heute darin, die Erwartungen Ihrer inter-essierten Parteien genau zu kennen? Wir können die Prozesse besser auf die Anforderungen unserer interessierten Parteien abstimmen. Durch die bewusste Ermittlung der Parteien und deren Anfor-derungen an SCHMIDT Technology haben wir an der einen oder anderen Stelle Lücken in den Prozessen entdeckt. Zum

Beispiel wurden in der Vergangenheit die Wertschöpfungsprozesse vor allem an den Kundenanforderungen ausgerichtet. Weitere Parteien oder eine aus heutiger Sicht sinnvolle Differenzierung wurden nicht ausreichend betrachtet. Ein einfa-ches Beispiel ist, dass wir jetzt bewusst zwischen Interessenten und Kunden unterscheiden und im Prozess gezielter auf die Anforderungen der künftigen Kun-den eingehen können. Das Qualitätsma-nagementsystem ist dadurch an vielen Stellen konkreter und verständlicher. Das führt natürlich auch zu einer größeren Akzeptant des Systems.

Als Unternehmen, das bereits zuvor mit einem prozessorientierten Ansatz gearbeitet hatte, mussten Sie für die Erfüllung der Anforderungen aus Kapi-tel 4.4 einen vergleichsweise geringen Aufwand betreiben. Die Anforderung, Leistungsindikatoren (KPIs) systematisch zu bestimmen, war jedoch, zumindest in dieser Form, neu. Was hat Ihnen diese Herangehensweise gebracht? Wir haben jetzt ein durchgängiges Sys-tem an Leistungsindikatoren für alle Geschäftsprozesse, wobei hier, die Anzahl

Nr. II 2014Nr. I 2018

12

der Indikatoren betreffend, weniger mehr ist! Die relevanten Indikatoren werden pro Prozess u. a. durch das Turtle-Modell visu-alisiert. Die Vorteile sind die Übersicht-lichkeit und die Akzeptanz der Kennzahlen durch die Prozesseigner. Vorgaben und Maßnahmen zu den KPIs werden in den Jahreszielen der Prozesseigner berück-sichtigt. Der Trend der KPIs wird u. a. im Managementreview verfolgt.

Ihre Geschäftsführung hatte sich schon vor ISO 9001:2015 aktiv um die Belange des Qualitätsmanagementsystems gekümmert, so dass auch die Anforde-rungen aus Kapitel 5.1 nicht absolut neu waren. Hat sich im Unternehmensalltag seit der Zertifizierung etwas verändert, z. B. mit Blick auf Ihre Position als QMB, die ja bewusst beibehalten wurde? Hier gab es keine tiefgreifenden Änderun-gen. Im Detail gibt es sicher Anpassun-gen, die Geschäftsführung ist sich ihrer Rolle als Prozesseigner bei den entspre-chenden Prozessen noch bewusster und ist somit auch noch aktiver. Dies gilt übrigens auch für die anderen Prozess-eigner. Wir haben in diesem Zuge auch unser Management optimiert und erwei-tert. Die Rolle des QMB oder auch des „Experten für das Qualitätsmanagement-system“ ist meiner Ansicht nach für die meisten Unternehmen nach wie vor not-wendig. In der Regel hat die Geschäfts-führung keine Kapazität, sich mit allen Aspekten des Qualitätsmanagementsys-tems ausreichend tief zu befassen. Die Geschäftsführung muss sich schließlich mit vielen anderen kaufmännischen und technischen Themen befassen. Für viele Bereiche gibt es ja auch dort wiederum Experten. Dies ist natürlich abhängig von der Größe des Unternehmens.

Eine wesentliche Neuerung war der risi-kobasierte Ansatz (Kap. 6.1). Sie hatten seinerzeit mithilfe einer SWOT-Analyse Ihre Risiken bewertet, priorisiert und entsprechende Maßnahmenpläne einge-leitet. Hat sich dieses konkrete Vorgehen in der Praxis bewährt?

Ja, für uns ist die SWOT-Analyse, die der Prozesseigner für den jeweiligen Geschäftsprozess erstellt, inzwischen ein erprobtes Mittel, um die Risiken zu ermit-teln. Die Risiken werden zunächst von den Prozesseignern priorisiert, diese Priorisie-rung wird dann im Managementreview mit der Geschäftsführung abgestimmt. Wir haben die Methode weiterentwickelt: Am Anfang gab es natürlich noch den einen oder anderen Stolperstein. Inzwischen führen wir die SWOT-Analyse, die Priorisie-rung und die Ableitung der Maßnahmen auch mit Softwareunterstützung durch. Die Prozesseigner leiten dann Maßnah-menpläne aus den Analysen ab, die zum Teil auch in die jeweiligen Jahresziele übernommen werden. Die SWOT-Analyse war von Anfang an für alle Prozesseig-ner leicht verständlich und wurde daher auch gut akzeptiert. Inzwischen führen die Prozesseigner die Analysen, ggf. mit den entsprechenden Prozessbeteiligten, selbstständig durch.

Das explizite Ermitteln von Chancen war für Sie, wie für praktisch alle Unterneh-men, komplett Neuland. Hat sich eigent-lich aus der Erfüllung dieser Anforderung inzwischen eine veritable Chance erge-ben, die Sie ansonsten verpasst hätten?Zunächst sehen wir hier einen weiteren Vorteil in der SWOT-Analyse: Es werden nicht nur die Risiken systematisch ermit-telt, sondern auch die Chancen eines Prozesses werden betrachtet. Die Chan-cen waren natürlich bisher implizit zum Teil auch bekannt, wurden aber nirgends konkret visualisiert oder systematisch berücksichtigt. Es wird in der Regel von den Prozesseignern begrüßt, dass auch die Chancen des Prozesses systematisch analysiert werden. Den letzten Teil Ihrer Frage kann ich nicht eindeutig beantwor-ten, denn es ist erstens ein relativ kurzer Zeitraum, seitdem wir die SWOT-Analyse anwenden, zweitens ist eigentlich nicht zu ermitteln, ob die Chance nicht auch ohne SWOT-Analyse erkannt würde. Wir haben hier zum Beispiel auch Produkte entwi-ckelt, die als Chance in der SWOT-Analyse erkannt wurden.

Wenn Sie an die Anforderungen zum Wissen der Organisation (Kap. 7.1.6) denken: Sie hatten damals in einer Matrix visualisiert, welches Wissen bei Schmidt Technology erfasst und gelenkt wird und daraus entsprechende Schlüsse gezogen und Maßnahmen eingeleitet. Wie sind Ihre Erfahrungen mit den von Ihnen eingeführten prozessübergreifen-den Plattformen und Datenbanken, die den jeweiligen Mitarbeitern seither zur Verfügung stehen? Wir haben hier unsere bisherige Strategie weiterverfolgt. Wir haben diverse Lösun-gen, die von den Mitarbeitern, die die Plattformen und Datenbanken verwenden, auch verstanden und akzeptiert werden. Diese bilden wir über unser Intranet, ERP und CAQ-System aber auch filebasiert mit entsprechenden Berechtigungskonzepten ab. Wir werden oft, auch von Auditoren, auf eine für das Unternehmen globale WIKI-Lösung angesprochen. Hier sind wir bisher zu dem Ergebnis gekommen, dass eine solche unternehmensweite Lösung für uns nicht passt, da wir auch Bereiche haben, in denen die Akzeptanz der Mitar-beiter nicht gegeben ist. Da in letzter Zeit einige Mitarbeiter mit sehr viel Erfahrung altersbedingt ausgeschieden sind, ist es sehr wichtig, dass das Wissen nicht nur dokumentiert ist, sondern die Erfahrung persönlich in einer entsprechend langen Einarbeitungsphase an die neuen Mitar-beiter weitergegeben wird. Hier haben wir sehr gute Erfahrungen gemacht und set-zen dieses Konzept, wo immer möglich, so um.

Herr Häußler, wir danken für das Gespräch!

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. I 2018

13

Wie viel Papier braucht Qualität?ISO 9001 und ISO/IEC 27001 in Zeiten der DigitalisierungManagementsystemen eilt noch immer der Ruf eines hohen Maßes an notwendiger Bürokratie voraus, und dass aufgrund der erforderlichen dokumentierten Information „viel Papier“ erzeugt werden müsse. Viele Organisationen planen aufgrund dessen die Einführung einer neuen Software, um die Papierflut in digitale Daten zu transformieren und sich dadurch weitestgehend von Papier zu entlasten. Getrübt wird die damit verbundene Euphorie allerdings durch Vorgaben aus dem IT-Sicherheitsgesetz, dem Umgang mit sogenannten kritischen Infrastrukturen (KRITIS) und der neuen Datenschutzgrundverordnung (DS-GVO).

Nicht jedem ist in diesem Zusammen-hang das Folgende bewusst: �� ISO 9001 hat im Umgang mit dem

Aufbau, der Aufrechterhaltung und Weiterentwicklung von Management-systemen noch nie die Produktion von „viel Papier“ gefordert.�� Die Einführung einer Software

unterstützt im Umgang mit Manage-mentsystemen nur dann, wenn die Geschäftsprozesse selbst die Digitali-sierung mittragen. Ansonsten werden die Probleme nur verschoben und/ oder sogar vergrößert: Mit der Digita-lisierung werden weitere Herausforde-rungen geschaffen.�� Der Schutz und damit die Sicher-

heit von Informationen (vgl. ISO/IEC 27001) und (persönlichen) Daten war schon immer eine berechtigte Anfor-derung relevanter interessierter Par-teien wie z. B. Kunden, Geschäftspart-nern und Mitarbeitern – auch wenn oft nur unausgesprochen.

Wie kann ein Unternehmen also entspre-chenden Anforderungen gerecht werden und gleichzeitig einen Nutzen aus der Digi-talisierung wie z. B. Effizienzgewinne, Kos-teneinsparungen oder dergleichen generie-ren? Ein tiefer gehender Blick in ISO 9001 zeigt, dass die Norm dazu sehr viel beitra-gen kann! Die Norm ist mehr als kompa-tibel, um nicht nur die Digitalisierung zu fördern, sondern sie ist sogar in der Lage, diese nachhaltig zu unterstützen.

Die Wege sind geebnet: Digitalisierung auf der Grundlage der Revision von ISO 9001Als ein primäres Beispiel für die „digitale Tauglichkeit“ von ISO 9001:2015 dient die Veränderung in Bezug auf den Umgang mit den zuvor vorhandenen Dokumenten

und Aufzeichnungen. Im Zuge der Revi-sion wurden Begriffe wie Qualitätsma-nagementhandbuch, dokumentierte Ver-fahren, Aufzeichnungen und Dokumente durch den Begriff der „dokumentierten Information“ ersetzt, der nun die gesamte Systemdokumentation mit allen Ausprä-gungen umfasst. Es lohnt sich also gezielt zu hinterfragen, was die Norm unter einer dokumentierten Information versteht, um Chancen in Bezug auf die digitale Trans-formation aktiv zu nutzen.

Was ist überhaupt eine Information? – „Daten von Wert“!Informationen sind die Basis jeglicher Kommunikation und mit ihnen verbun-dener Kommunikationsstrukturen. Durch Informationen wird in einer Organisation Wissen aufrechterhalten, weiterentwi-ckelt und an relevante Stellen innerhalb und außerhalb eines Unternehmens ver-teilt. Die Verfügbarkeit von Informationen, ihre Integrität und Vertraulichkeit muss gewährleistet sein, und zwar unabhän-gig davon, wozu diese Informationen im Einzelnen dienen. Substanziell ist dabei vor allem die Sicherheit dieser Informati-onen: Noch nie war die Anforderung nach Sicherheitsstandards für die Übertragung und Speicherung von Daten und Informa-tionen so hoch wie heute.

Eine zunächst scheinbar wahllose Ansammlung einzelner Daten wird dann zu einer sogenannten Information, wenn diesen Daten z. B. durch eine bestimmte Anordnung, einen Zusatz oder die Einbin-dung in einen Kontext eine bestimmte Bedeutung zukommt. Allerdings nur dann, wenn die daraus entstandene Information zielführendes und nutzbringendes Wis-

sen enthält, hat sie für eine Organisation einen ggf. unschätzbaren Wert. So gese-hen sind Informationen „Daten von Wert“ – über den Wert selbst entscheidet die jeweilige Organisation.

Aber welches Wissen hat nun die Relevanz, als „dokumentierte Information“ eingeordnet zu werden? In ISO 9001:2015 ist dazu sinngemäß hinterlegt, dass ein Managementsystem genau jene doku-mentierte Information enthalten muss, die von der Organisation als für dieses System notwendig für seine Wirksamkeit bestimmt wurde. Die Norm fokussiert demzufolge stark auf den Wert einer Information. Und zwar in Abhängigkeit von der konkreten Unternehmenssituation z. B. Branchenzu-gehörigkeit, Größe und Komplexität des Unternehmens und seiner Prozesse, Anfor-derungen bzw. Erwartungen relevanter interessierter Parteien, etc.

Dokumentierte Information wirksam schützen: Nutzung von „Lessons Learned“ aus der Informationssicherheit Genau an dieser Stelle greift die oben erwähnte Informationssicherheit gemäß ISO/IEC 27001: Zwar fordert ISO 9001 die Verfügbarkeit, Integrität und Vertrau-lichkeit der dokumentierten Information und bezieht sich dabei auf den Schutz vor unbefugtem Zugriff etc. Dennoch bietet sie Organisationen nicht die erforderlichen Management-Tools sowie technische oder organisatorische Verfahren. Und vor allem: Sie fordert deren Einsatz auch nicht expli-zit. Das nötige Vertrauen in die Sicherheit von Daten im Sinne dokumentierter Infor-mation ist dabei aber besonders im Hin-blick auf die Erwartungen der interessier-ten Parteien von großer Bedeutung.

Nr. II 2014Nr. I 2018

14

ISO/IEC 27001 legt in ihrem Ansatz einen Risikomanagementprozess zugrunde, der sich durch die gesamte Organisations-struktur zieht und im PDCA-Zyklus sehr früh bei „PLAN“ ansetzt – nämlich bei der Konzeption von Prozessen und Systemen. Eine solche Vorgehensweise ist vor allem dann erste Wahl, wenn moderne Kom-munikationsmedien wie E-Mail, Social Media oder Cloud-Lösungen die Grund-lage für dokumentierte Information dar-stellen – in einigen Branchen mittlerweile „gelebter Standard“. Dazu gehört u. a. insbesondere der gezielte Fokus auf das „Bewusstsein“ der Beschäftigten. Jede technische oder organisatorische Lösung kann noch so gut sein: Ist dem Menschen die mögliche Konsequenz seines Handels und damit potenziell verbundener Risiken nicht bewusst, handelt er mit hoher Wahr-scheinlichkeit nicht richtig im Sinne des Informationsschutzes.

Erwähnt sei zudem, dass sich die jeweiligen Anforderungen an ein Manage-mentsystem durch den Aufbau beider Normen ISO 9001 und ISO/IEC 27001 durch ihre gemeinsame Grundstruktur (HLS) perfekt ergänzen!

Compliance im FokusDie Schnelllebigkeit von Informationen und deren oft rasante „Vergänglichkeit“ ist eine Herausforderung unserer Zeit und nicht zuletzt der immer tiefergreifenden Digitalisierung von Daten und Informa-tionen, die auch deren Verteilung und Verarbeitung tangiert. So wird es immer schwieriger, aus der Vielfalt gebotener Informationen die entscheidenden und für eine Organisation damit relevan-ten Informationen zu identifizieren. Die bereits genannte Verfügbarkeit, Integrität und Vertraulichkeit rücken damit immer stärker in den Fokus. In jedem Prozess im Sinne einer Abfolge von Tätigkeiten mehrerer Personen muss somit die Frage nach den dafür erforderlichen Informatio-nen, deren Aktualität und Ursprung, aber auch nach der zu übergebenden Informa-tion gestellt und beantwortet werden.

Neben der Differenzierung von für eine Organisation (entscheidungs-)rele-vanten dokumentierten Information und deren Schutz besteht darüber hinaus die

Anforderung, konform zu sein. Sie muss also die relevanten Anforderungen inter-essierter Parteien umsetzen und einhal-ten. Im Zuge der digitalen Transformation gilt es, auf der Grundlage von staatlichen Forderungen wie z. B. aus dem IT-Sicher-heitsgesetz und KRITIS oder der DS-GVO den aktuellen Stand der Technik einzuhal-ten und sowohl organisatorische wie auch technische Maßnahmen zur Sicherung von Informationswerten wirksam umzu-setzen. Daneben gilt es, zugleich den Anforderungen/Erwartungen relevanter interessierter Parteien gerecht zu werden, vor allem Kunden und Mitarbeitenden. Deren Nutzen und der Schutz entspre-chender Werte sollte in vielen Organisati-onen stärker als bisher im Fokus stehen. Es geht bei einer erfolgreichen Weiter-entwicklung einer Organisation also nicht darum, einfach „nur“ konform zu sein.

ISO/IEC 27001: sichere DigitalisierungUm den Anforderungen nach dem Stand der Technik und den richtigen organisa-torischen und technischen Maßnahmen gerecht zu werden, hat ISO/IEC 27001 alles Notwendige „direkt an Bord“: Auch der aus ISO 9001 und der DS-GVO bekannte Ansatz des risikobasierten Denkens fin-det sich wieder. ISO/IEC 27001 fordert ein Risikomanagement, das als Ergebnis ein angemessenes Schutzniveau für die Informationswerte einer Organisation bie-tet. Die Norm verfügt dabei über einen Anhang, der zu den unterschiedlichsten Risikoszenarien technischer und organisa-torischer Art Maßnahmen zu deren Risi-kobewältigung bereithält. Systematisch übertragen auf die eigenen Bedürfnisse und damit auf das eigene Schutzniveau einer Organisation bietet sich somit eine Lösung zu deren Absicherung.

Bisher setzen sich Organisationen mit dem Thema KRITIS erst dann ausei-nander, wenn sie eindeutig zur kritischen Infrastruktur gehören. Aber gerade unter den hier genannten Gesichtspunkten sollte es für Organisationen unabhängig von ihrer Größe unabdingbar sein, sich mit der Erfüllung dieser Anforderungen auseinanderzusetzen. Denn sie stellen die Basis für eine von Anfang an nachhal-tige digitale Transformation sicher.

FazitZusammenfassend bleibt festzuhalten:�� Auch nach der Normrevision fordert

ISO 9001 nicht „viel Papier“, sondern überlässt es der Organisation, über den Wert und die Relevanz von Infor-mationen selbst zu entscheiden und diese in einer selbst gewählten Art und Weise verfügbar zu machen.�� Erforderliche Grundlage für eine

zielführende und effektive digitale Transformation ist es, die Geschäfts-prozesse im Hinblick auf benötigte Informationen, Kommunikation und Wissen zu optimieren.�� Neben Anforderungen relevanter inte-

ressierter Parteien wie z. B. Kunden, Geschäftspartnern und Mitarbeitern zur Informationssicherheit existieren diverse weitere Compliance-Anfor-derungen auf staatlicher Ebene. Die Antworten hält ISO/IEC 27001 dafür bereits parat.

Egal ob ISO 9001, ISO/IEC 27001 oder DS-GVO: Mögliche Synergieeffekt sind eindeutig gegeben. Die Möglichkeit unter der Berücksichtigung der verschiedenen Normen und Anforderungen ein für eine Organisation nutzbringendes Manage-mentsystem zu generieren, sind u. a. durch die vereinheitlichte Normstruktur (HLS) und weitere Kompatibilitäten (u. a. Begriffe) geschaffen. In welchem Ausmaß eine Organisation die Möglichkeiten der digitalen Transformation nutzen möchte und dafür die erforderlichen Ressourcen zur Verfügung stellt, muss jede Organi-sation letztendlich selbst entscheiden. Die beste Chance dafür bietet sich unter Nutzung der beispielhaft dargestellten Norminterpretation. Die hier aufgezeigten Normen berücksichtigen dabei nicht nur die relevanten Themen, sondern bieten mit ISO/IEC 27001 auch angemessene Lösungswege zur Risikominimierung im Sinne eines Best-Practice-Ansatzes.

Andreas AltenaDQS-Auditorandreas.altena@dqs.de

Angelika MüllerDQS-Auditorinangelika.mueller@dqs.de

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. I 2018

15

Frage 1: Die Zahl der meldepflichtigen Arbeitsunfälle pro 1.000 Vollarbei-ter geht in Deutschland stetig zurück. Waren es 1960 in dieser Kategorie noch etwas über 100 Fälle pro Jahr, wurden 2016 nur noch knapp 23 gemeldet. Diese Entwicklung ist einerseits dem technischen Fortschritt geschuldet; andererseits aber auch unseren recht strengen Gesetzen zur „Sicherheit und Gesundheit bei der Arbeit“ (SGA), wie es bei ISO 45001 heißt, für deren Ein-haltung die Berufsgenossenschaften und die staatlichen Ämter für Arbeitsschutz (Gewerbeaufsicht) Sorge tragen. Dennoch: In Summe werden in Deutschland noch immer rund 950.000 Arbeitsunfälle pro Jahr gemeldet – global sind es 374 Mio., dar-unter unglaubliche 2,78 Mio. mit tödlichem Ausgang. ISO 45001 soll dazu beitragen, dass diese Zahlen deutlich sinken. Unsere Frage: Welche entscheidende Verbesserung gegenüber der Vorgängernorm BS OHSAS 18001 kann ISO 45001 dazu befähigen? A) Die neu geschaffene Möglichkeit und übergeordnete

Anforderung, das SGA-Management vollumfänglich in die Geschäftsprozesse der Organisation zu integrieren.

U) Die Tatsache, dass ISO 45001 einer Organisation bis ins Detail vorschreibt, wie sie ihr SGA-Managementsystem zu gestalten hat.

Frage 2:In ISO 45001 kommen mehrere Kernbegriffe zum Tragen, z. B. Beteiligung und Konsultation. Beide Begriffe werden in Kapitel 5.4 thematisiert. Die gemeinsame Grundstruktur der ISO-Manage-mentsystemnormen wurde für die SGA-Norm mit Blick auf Rechte und Bedürfnisse von Beschäftigten um dieses Kapitel erweitert. Die Organisation muss einen Prozess etablieren, umsetzen und aufrechterhalten, um Beteiligung und Konsultation der Beschäftig-ten sicherzustellen. Der Begriff Beteiligung meint die Einbeziehung der Beschäftigten, deren Vertreter bzw. eventueller SGA-Gremien

DQS-Quiz für Normfüchse Wie gut kennen Sie die neue SGA-Norm ISO 45001?Am 12. März dieses Jahres wurde ISO 45001 – die neue Norm für Sicherheit und Gesundheit bei der Arbeit – nach knapp fünf Jahren Entwicklungsarbeit veröffentlicht. Die Erwartungen sind groß: Eine drastische Senkung der Arbeitsunfallzahlen soll es geben, wenn die Mehrzahl der Organisationen ihre SGA-Managementsysteme umgestellt bzw. neu implementiert hat. Die Voraussetzungen, die damit geschaffen werden, gelten als gut. Aber wie gut kennen Sie sich bereits mit den neuen Anforderungen aus? Überprüfen Sie Ihr Wissen und machen Sie mit bei unserem Quiz für Normfüchse, das wir mit einem kleinen Gewinnspiel kombiniert haben – und nun: viel Erfolg!

an der Entscheidungsfindung – die Norm ergänzt ihre Anforderung hier noch um ein „wo vorhanden“. Unsere Frage: Was genau bedeutet der Begriff Konsultation im Kontext von ISO 45001?N) Die Befragung der Beschäftigten nach ihrer Entscheidung

durch die oberste Leitung.R) Das Einholen von Ansichten der Beschäftigten, bevor eine

Entscheidung getroffen wird.

Frage 3:Bleiben wir bei den Kapiteln 5.3 bzw. 5.4. Aus diesen geht auch hervor, worauf eine Organisation ihren Schwerpunkt legen soll, wenn es um Beteiligung und Konsultation von Beschäftigten geht, die nicht der Leitungsebene angehören. Wobei es auch für leitende Beschäftigte möglich sein soll, Beteiligung und Kon-sultation in Anspruch zu nehmen, z. B. wenn sie durch das Aus-führen entsprechender Tätigkeiten unmittelbar betroffen sind (Kap. 5.4, Anmerkung 3). Mit Blick auf Konsultation ist es bei der Zuordnung von Rollen, Verantwortlichkeiten und Befugnissen u. a. notwendig, die Erfordernisse und Erwartungen relevanter interessierter Parteien zu bestimmen (Kap. 4.2). Das sind in ers-ter Linie die organisationseigenen Beschäftigten, aber nicht nur. Unsere Frage:Welche interessierten Parteien müssen im genannten Fall auch berücksichtigt werden?B) Eventuell vorhandene Leiharbeitnehmer.Z) Monteure, die im Auftrag eines externen Anbieters im

Betrieb Reparaturarbeiten ausführen.

Frage 4:Auch in dieser Frage geht es um das Zuordnen von Rollen, Ver-antwortlichkeiten und Befugnissen im SGA-Managementsystem, gleichzeitig auch um das Thema Beteiligung. Ein Aspekt in die-sem Zusammenhang ist das Melden von gefährlichen Situatio-nen durch Beschäftigte an verantwortliche Stellen. Es ist kein

Nr. II 2014Nr. I 2018

16

AUDILLIONÄRAUDILLIONÄR

W E R W I R D

W E R W I R D

Mitmachen und GewinnenSo geht’s: Nur eine Antwort pro Frage ist richtig. Wenn Sie die den richtigen Antworten vorangestellten Buchstaben in die entsprechende Reihenfolge bringen, erhalten Sie ein Lösungswort mit sechs Buchstaben, das Sie uns per E-Mail an arbeitsschutz2021@dqs.de unter Angabe Ihrer vollständigen Adresse zusenden können.

Einsendeschluss ist der 31. August 2018.

Geheimnis, dass es dabei immer wieder zu schwierigen Situationen kommt, und zwar im Sinn von Repressalien, die Beschäftigte durch sol-che Meldungen eventuell befürchten müssen. In Deutschland sollte das gemäß der herrschenden Gesetzeslage gar nicht vorkommen können – theoretisch, jedenfalls. Unsere Frage: Wie geht ISO 45001 mit dieser Situation um?E) Die Norm verpflichtet die oberste Leitung Beschäftigte vor

Repressalien zu schützen, wenn sie Vorfälle, Gefahren, Risiken oder Chancen melden.

A) Die Norm macht dazu überhaupt keine Aussage, weil solche Meldungen selbstverständlich sind.

Frage 5:In Kapitel 7.4 wird das Thema Kommunikation behandelt. Die Organisation muss einen Prozess für die interne und externe Kommunikation aufbauen, umsetzen und aufrechterhalten und dabei eine Reihe von Dingen bestim-men, nämlich (Zitat): „a) worüber; b) wann; c) mit wem: 1) intern zwischen den verschiedenen Ebenen und Funktionen der Organisation; 2) von Auf-tragnehmern sowie Besuchern des Arbeitsplatzes; 3) von anderen interes-sierten Parteien; d) wie kommuniziert wird.“ Eine Sache irritiert dabei auf den ersten Blick. Unsere Frage: Fehlt in der wörtlich aus der Norm übernommenen Aufzählung nicht etwas?I) Nein, es fehlt nichts!H) Es fehlt die Anforderung zu bestimmen, wer aus der Organisation

kommuniziert.

Frage 6:Das Thema Ausgliederung wird in ISO 45001 nur kurz angesprochen (Kap. 8.1.4.3), ist aber gleichwohl wichtig, da das SGA-Managementsystem der ausgliedernden Organisation weiterhin zuständig ist. Die zentrale Anforde-rung lautet nämlich, dass die Organisation sicherstellen muss, dass aus-gegliederte Funktionen und Prozesse gesteuert werden (Zitat): „Die Art und der Grad der Steuerung dieser Funktionen und Prozesse müssen im SGA-Managementsystem festgelegt werden.“ Wie eine Organisation das bewerkstelligt, ist jedoch ihre Sache. In der Anmerkung heißt es sinnge-mäß, dass eine Abstimmung mit externen Anbietern hilfreich ist, weil das Ausmaß des Einflusses auf den ausgegliederten Prozess in gewisser Weise eingeschränkt ist. Unsere Frage: Muss die externe Organisation, zu der ein Prozess ausgegliedert wird, ebenfalls ein nach ISO 45001 zertifiziertes SGA-Manage-mentsystem etabliert haben, damit die ausgliedernde Organisation normkonform handelt?L) Nein, es reicht ein Qualitätsmanagementsystem nach

ISO 9001:2015.T) Nein, die externe Organisation muss kein zertifiziertes

Managementsystem irgendeiner Art vorweisen.

TeilnahmebedingungenNicht teilnahmeberechtigt sind alle Angehörigen und Auditoren der DQS-Gesellschaften. Die Teilnahme ist ausschließlich per E-Mail möglich und von einer Beauftragung unabhängig. Der Gewinner wird unter allen richtigen Antworten ausgelost und durch die DQS GmbH schriftlich benachrichtigt. Die Abwicklung des Gewinnspiels wird von der DQS GmbH durchgeführt. Die Daten werden streng vertraulich behandelt und nur im Zusammenhang mit der Abwicklung dieses Gewinnspiels verwendet. Eine Weitergabe an Dritte findet nicht statt. Eine Barauszahlung des Gewinns ist nicht möglich. Der Rechtsweg ist ausgeschlossen. Das Gewinnspiel endet am 31. August 2018.

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. I 2018

17

Als Hauptgewinn – und als Dankeschön fürs Mitmachen – verlosen wir unter allen richtigen Einsendungen eine kostenfreie Teilnahme am

Webinar „Die neue ISO 45001“

an einem der folgenden Termine:19. Oktober, 13. November oder 18. Dezember 2018

Weitere Informationen unter www.dqs-veranstaltungen.de

ISA+ Informations-Sicherheits-Analyse – Einstieg in die Informationssicherheit für KMUMehr als die Hälfte der Unternehmen in Deutschland (53 %) war in den beiden ver-gangenen Jahren von Wirtschaftsspionage, Sabotage oder Datendiebstahl betroffen. Um gerade mittelständischen Unternehmen einen schlanken und niederschwelligen Einstieg in die Informationssicherheit zu ermöglichen, hat das Bayerischen IT-Sicherheitscluster e. V. die „ISA+ Informations-Sicherheits-Analyse“ ent-wickelt.

Der Königsweg zu einer guten Informa-tionssicherheit gemäß den Anforderungen der international anerkannten Norm ISO/IEC 27001 ist mit einigem Aufwand verbunden. Gerade für kleine und mittlere Unternehmen (KMU) ist die Einführung vielfach zu zeit- und kostenintensiv. Zudem führen begrenzte Res-sourcen oft zu Schwierigkeiten, die Compli-ance-Anforderungen umzusetzen. Das Clus-ter hat deshalb einen „schlanken“ und nied-rigschwelligen Einstieg in die IT-Sicherheit geschaffen – speziell auf KMU zugeschnitten: Die ISA+ Informations-Sicherheits-Analyse ermöglicht es Geschäftsführern in kompri-mierter Form den Ist-Zustand der IT-Sicherheit in ihrem Unternehmen zu erheben. Ein Berater steht bei der aus 50 Fragen bestehenden Ana-lyse unterstützend zur Seite, wertet das Ergeb-nis aus und erstellt einen für das Unterneh-men angemessenen Prozess für IT-Sicherheit mit konkreten Handlungsempfehlungen.

Das große Plus der ISA+ Informations-Sicherheits-Analyse ist, dass einerseits mit Umsetzung der identifizierten Maßnahmen schon ein gutes Level an IT-Sicherheit erreicht ist, man andererseits aber einen nach oben durchlässigen Weg beschritten hat, der bis zur ISO/IEC 27001 oder zum BSI IT-Grundschutz führen kann. Wer nach ISA+ Informations-Sicherheits-Analyse nicht direkt ein ISMS nach ISO/IEC 27001 implementieren möchte, dem bietet das Bayerische IT-Sicherheitsclus-ter mit ISIS12, einem für KMU entwickelten Informationssicherheits-Managementsys-tem, eine weitere Option. Welcher Weg auch beschritten wird: Das stufenweise Vorgehen berücksichtigt alle bereits umgesetzten Maß-nahmen und erlaubt es, exakt auf dem bereits Erreichten aufzusetzen.

Kontakt: andre.saeckel@dqs.de

ISO 45001 erschienenAm 12. März 2018 wurde die neue Norm für Sicherheit und Gesundheit am Arbeitsplatz ISO 45001 veröffent-licht und ist ab sofort beim Beuth Ver-lag als DIN ISO 45001:2018-6 auch in deutscher Sprache erhältlich. Die ISO-Norm löst den britischen Standard OHSAS 18001 ab, die Umstellungsfrist beträgt drei Jahre. Das bedeutet, dass die Zertifikate nach dem alten Standard spätestens am 11. März 2021 ihre Gül-tigkeit verlieren.

Sie haben Fragen? Schreiben Sie uns:arbeitsschutz2021@dqs.de

ISO 45001 – kurz erklärt Unfallprävention, Gesundheitsschutz, Gefährdungsbeurteilung – Ihre Für-sorgepflicht und Vorbildfunktion für die anvertrauten Mitarbeiter ist Ihnen wichtig. Zudem wollen Sie nicht nur den eigenen Ansprüchen, sondern auch allen arbeitsschutzrechtlichen Vorschriften gerecht werden. Aber wie genau funktioniert das? Mit einem zertifizierten Manage-mentsystem nach der neuen, internationalen Norm für Sicherheit und Gesundheit bei der Arbeit: ISO 45001.

Unser Video erklärt kurz und knapp das Wie und Warum. www.dqs.de, Audits: ISO 45001

DQS seit April 2018 exklusiver Zertifizierungspartner von ENETS

Die European Neuroendocrine Tumour Society (ENETS) wurde 2004 als Zusam-menschluss internationaler NET-Exper-ten gegründet und vereint zurzeit rund 1700 Mitglieder. Ihre Mission: For-schung und Lehre zur Verbesserung der Diagnose und Therapie von Patienten mit neuroendokrinen Tumoren in einem interdisziplinären Kontext.

Das Netzwerk dieser Zentren optimiert Diagnostik, fachübergreifende Behand-lung und Nachsorge für NET-Patien-ten und ermöglicht zudem die gezielte Suche nach Spezialisten für die beste Versorgung.

Auf Basis der von einem internationa-len Panel entwickelten europäischen Leitlinien für Diagnostik, Behandlung und Nachsorge neuroendokriner Tumo-ren wurde im Jahr 2008 ein Zertifizie-rungsprogramm initiiert. Das Zertifi-zierungsverfahren ist zweistufig ange-legt, beginnend mit der Application, die einem Stufe 1 Audit entspricht. Dabei müssen die Zentren bestimmte Struk-turkriterien nachweisen. Das Zertifizie-rungsaudit on site (Stufe 2 Audit) wird gemeinsam von einem DQS-Auditor und einem ENETS-Fachexperten prozesso-rientiert durchgeführt. Zertifizierte Zen-tren müssen jährlich Qualitätskennzah-len auswerten und an ENETS sowie die DQS übermitteln.

Zunehmend interessieren sich auch außereuropäische NET-Zentren für diese Zertifizierung, die Einrichtungen als sog. ENETS Centers of Excellence (CoE) aus-weist. Die DQS hat im April 2018 das erste ENETS-Zertifizierungsaudit in Aus-tralien durchgeführt. Weitere Audits der in diesem Jahr zur Zertifizierung zugelas-senen Zentren in USA, Israel, UK, Italien sowie in weiteren europäischen Ländern werden aktuell geplant.

Kontakt: nadja.goetz@dqs.de

Nr. II 2014Nr. I 2018

18

NEWS

HerausgeberDQS GmbH Deutsche Gesellschaft zur Zertifizierung von ManagementsystemenAugust-Schanz-Straße 21 60433 Frankfurt am MainTel. +49 69 95427-0Fax +49 69 95427-111

VerantwortlichMatthias Vogel und Ilona Korall, DQS GmbHTel. +49 69 95427-125ilona.korall@dqs.de

Redaktion & Layout: kompri, Triefenstein

Druck: johnen-druck, Bernkastel-Kues

Member of:

Kundenzeitschrift der DQS GmbH, Deutsche Gesellschaft zur Zertifizierung von Managementsystemen und ihrer verbundenen Unternehmen. Auflage 10.000 Ex., gedruckt auf umweltfreundlich hergestelltem Papier. Nachdruck von Beiträgen, auch auszugsweise, nach Rücksprache mit der Redaktion und bei Angabe der Quelle gern gestattet.IM

PRES

SUM

DQS-WORKSHOPSAngemessenheit der Dokumentation eines Managementsystems3. Sept. 2018 in Frankfurt am Main

Prozessorientierung – Werkzeug zur Unternehmenssteuerung4. Sept. 2018 in Frankfurt am Main

DS-GVO – Praxiswissen und dessen Umsetzung im Unternehmen (2-tägig)

10./11. Sept. 2018 in Frankfurt am Main

WEBINAREISO 19011 – Leitfaden zur Auditierung von Managementsystemen17. Juli und 7. Sept. 2018

Die neue ISO 4500118. Juli, 4. Sept., 19. Okt., 13. Nov., und 18. Dez. 2018

Stromsteuer-Spitzenausgleich (SpaEfV)18. Sept. 2018 und 20. März 2018

Weitere Veranstaltungen, Termine und ausführliche

Informationen unter www.dqs-veranstaltungen.de

Impulse für die Auditpraxis – Revision ISO 19011Der „Leitfaden zur Auditierung von Managementsystemen“ ISO 19011 ist eines der grundlegendsten Regelwerke in der Welt der Managementsysteme. Zuletzt 2011 überarbeitet, wird er zurzeit revidiert und soll Mitte 2018 als Final Draft erscheinen. Erfahren Sie, wo der neue Leitfaden Anreize für die Weiterent-wicklung der eigenen internen Auditme-thoden schafft und welche Kompetenzen interne Auditoren für ihre Rolle im Span-nungsfeld von Strategie und Operativem mitbringen sollten.11. Sept. 2018 in Stuttgart

Impulse für die Energieeffi zienz – ISO 50003 und Revision ISO 50001ISO 50001 befindet sich seit Sommer 2016 in Revision und soll Mitte 2018 als Final Draft vorliegen. Doch was genau kommt mit den z. T. grundlegenden Ände-rungen von ISO 50001 auf Ihr Unterneh-men zu und wie wirkt sich ISO 50003 auf Ihr Zertifizierungsverfahren aus? Die Tagesveranstaltung gibt Antworten auf viele Fragen und damit neue Impulse für Ihr Energiemanagementsystem. 12. Sept. 2018 in Stuttgart

DGQ,

DIN

und D

QSDQ

S CAM

PUS

Ansätze zur Verbesserung des Qualitätsmanagementsystems18. Sept. 2018 in Frankfurt am Main

Qualitätsmanagement als Führungsinstrument nutzen19. Sept. 2018 in Köln

Fundgrube neue ISO 19011:2018: Rolle, Kompetenzen und Methodensicherheit des internen Auditors26. Sept. 2018 in Frankfurt am Main

Programm und Anmeldung unter

www.isorevision.de

DGQ, DIN und DQS: Profi tieren Sie von Informationen aus erster Hand, langjähriger Erfahrung und unterschiedlichen Perspektiven aus Zertifi zierung und Beratung – direkt aus der Wiege der Norm!

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS

Nr. I 2018

19

Weitere Informationen und Anmeldung unter www.dqs-kundentage.de

Aus dem Programm� Qualitätsmanagement 4.0 – ein zukunftsorientiertes Qualitätsmanagement zwischen gestern und morgen� Modernes Auditieren gemäß ISO 19011:2018� Stressmanagement und die Möglichkeit, die eigene psychische Widerstandsfähigkeit zu stärken

Wissen verbindet.DQS-Kundentag in Magdeburg13. September 2018Einmal im Jahr das Wichtigste: Netzwerken, Austauschen, neue Themen betrachten. Erleben Sie eine abwechslungs-reiche Mischung aus Vorträgen, moderierten Workshops und Informationsständen. Das Programm ist so gestaltet, dass alle Gäste unabhängig von Branche oder Unternehmensgröße neue Impulse mit nach Hause nehmen. Und auf einen Tag zurückblicken, der vom Dialog geprägt ist.

Lassen Sie sich überraschen – wir freuen uns auf Sie!