Aktuelles aus der Welt der Managementsysteme

Beitrag aus "Beschaffung aktuell", 6-2019

Neue Regelwerke und nachgefragte Prozessaudits - eine Übersicht

Um ihre Ziele zu erreichen und Kundenanforderungen zu erfüllen, setzen Unternehmen auf (zertifizierte) Managementsysteme und Prozessaudits. Neben dem Dauerbrenner ISO 9001 für Qualität spielen zunehmend auch andere Themen eine gewichtige Rolle: Umwelt, Energie, Informationssicherheit, Arbeitsschutz oder Compliance. Hier auf dem laufenden zu bleiben, ist eine Herausforderung, aber unverzichtbar.

 

Autor: Frank Graichen ist Leiter Auditorenmanagement der DQS GmbH, Frankfurt/Main

Die Welt der Managementsysteme ist ständig in Bewegung. Es vergeht kaum ein Jahr, in dem kein (ISO-) Regelwerk entweder nach Überarbeitung oder, etwas weniger häufig, als komplette Neuheit herausgegeben wird. Zwei Beispiele: die im März 2018 in Erstausgabe erschienene Norm ISO 45001:2018 für Sicherheit und Ge­sundheit bei der Arbeit (SGA) und die erstmals überarbeitete, im August 2018 veröffentlichte Energiemanagementnorm ISO 50001: 2018.

 

ISO 45001 - Premiere beim Arbeitsschutz

Die erste ISO-Norm zum Thema Arbeits­schutz ersetzt den 1999 erschienenen briti­schen Standard BS OHSAS 18001, dessen Gültigkeit nach dreijähriger Übergangsfrist am 11. März 2021 endet. ISO 45001 ist wie alle neueren ISO-Ma nagementsystemnor men prozessorientiert, risikobasiert und berücksichtigt die interessierten Parteien eines Unternehmens. Beschäftigte werden mit Blick auf ihre Arbeitsumgebung und deren Schnittstellen aktiv und verantwortlich in das System eingebunden. Die oberste Lei­tung hat unter anderem die Aufgabe und Ver­antwortung, die Beschäftigten genau dazu zu befähigen. Vorteile der neuen SGA-Norm:

  • weltweite Anwendbarkeit und Anerkennung,
  • lückenlose Integration in bestehende ISO-Managementsysteme,
  • Vorrang der Prävention zur Verhinderung von Arbeitsunfällen,
  • umfassende Bewertung der Rechtssicherheit im Bereich SGA,
  • Anwender sind attraktivere Arbeitgeber, Stichwort: Fachkräftemangel

Der Aufwand eines Unternehmens für Einfüh­rung und Zertifizierung hängt von den eigenen Voraussetzungen ab, der häufigste Fall: ISO 45001 ersetzt in einem bestehenden integrier­ten ISO-Managementsystem BS OHSAS 18001.

 

ISO 50001:2018 - Energiemanagement auf neuestem Stand

Die Energiemanagementnorm ISO 50001 wurde erstmals 2011 veröffentlicht; im Mit­telpunkt steht die Verbesserung der Energie­effizienz. Durch die Erfüllung der Norman­forderungen profitieren Unternehmen und Umwelt gleichermaßen:

  • Einsparung von Energie,
  • Senkung der Energiekosten,
  • Verringerung des C02-Ausstoßes,
  • Bremsen des Klimawandels,
  • gegebenenfalls Steuerentlastung (Spitzenausgleich).

Seit 21. August 2018 können Unternehmen auf die neue Version ISO 50001:2018 zurückgreifen. Die Übergangszeit für bestehende Zertifikate nach der 2011er-Version endet am 20. August 2021, ab dem 20. Februar 2020 darf nur noch nach der neuen Norm-Version zertifiziert wer­den. Gründe für die Überarbeitung waren: Um­stellung auf die gemeinsame Grundstruktur für Managementsysteme (High Level Structure) und eine Verbesserung der Anwendbarkeit, vor allem durch Klarstellung, Ergänzung oder Kon­kretisierung von Anforderungen.

 

Informationssicherheit boomt

Auch jenseits der großen ISO-Normen gibt es Wissenswertes über neue oder (noch) wenig bekannte Regelwerke. Wegen der fortschreiten­den Digitalisierung und den damit verbunde­nen Risiken spielt Informationssicherheit heute eine bedeutende Rolle. Interessante Regelwerke in diesem Sektor sind etwa TISAX oder ISIS12.

 

TISAX - Informationssicherheit für die automobile Lieferkette

Im Jahr 2017 hat der Verband der deutschen Automobilindustrie (VDA) den neuen Branchenstandard TISAX (Trusted Information Security Assessment Exchange) herausge­bracht. Er zielt auf Zulieferer und Dienstleis­ter der automobilen Lieferkette und soll eine Reihe von Vorteilen bieten:

  • Informationssicherheit für die Prozesse der Lieferkette,
  • Anerkennung der Prüfergebnisse durch alle VDA-Mitglieder,
  • Vermeidung von Doppel- und Mehrfach­prüfungen,
  • umfassendes Vertrauen in ge­prüfte Lieferanten,
  • Prüfung zur TISAX-Zertifizierung nur alle drei Jahre.

Die TISAX-Assessments basieren auf einem Prüfkatalog (VDA ISA, aktuelle Version 4.1.0), dem die Anforderungen der Informations­sicherheitsnorm 150/1 EC 27001 zugrunde liegen, ergänzt um branchenbezogene Themen wie Prototypenschutz, Anbindung Dritter und Datenschutz. Das Ver-fahren sieht drei Hauptschritte vor: Registrierung auf dem TISAX-Portal, Assessment oder Audit durch einen akkreditierten Prüfdienstleister (etwa die DQS) und Austausch der Auditergebnis- se auf der TISAX-Plattform (nur nach Freigabe). Der erfolgreiche Durchlauf des Verfahrens wird in einem drei Jahre gültigen Ab­schlussbericht dokumentiert. Ei-nige Hersteller verlangen für eine Zusammenarbeit inzwischen ein erfolgreich durchlaufenes TISAX­Assessment. TISAX kann übrigens auch von Unternehmen anderer Branchen für ihre Lieferkette an- gewendet werden, einige nam- hafte Unternehmen sind bereits dabei. Wichtig: Auch wenn es eine hohe Übereinstimmung mit ISO 27001 gibt - eine Zertifizierung nach der Norm ist im Verfahren nicht enthalten.

 

ISIS 12 - Informationssicherheit für den Mittelstand

Für kleine und mittlere Unterneh­men (KMU) kann ein lnformati­onssicherheits-Ma nagementsys­tem (ISMS) nach 150/IEC 27001 ei­ne Nummer zu groß sein, die An­forderungen zu komplex. Für den Einstieg kann das vom Netzwerk für Informationssicherheit im Mittelstand entwickelte und vom Bayerischen IT-Cluster herausgegebene Regelwerk 151512 vollkom­men ausreichen. Es ist branchenunabhängig und zugeschnitten auf KMU sowie Verwal­tungen. Die DQS ist Partner für die 151512-Zer­tifizierung.

Die Einführung von 151512 sieht zwölf Schrit­te in drei Phasen vor. In Phase I wird eine Leit­linie zur Informationssicherheit erstellt und den Mitarbeitern vermittelt. In Phase II wird die Aufbau- und Ablauforganisation festge­legt, Phase III umfasst die Entwicklung und Umsetzung des Konzeptes. Ein Handbuch und ein Software-Tool begleiten den Anwen­der bei der Einführung. Zur Umsetzung der neuen DSGVO gibt es demnächst ein Zusatz­modul. Der Nutzen eines 151512-Zertifikats:

  • bedarfsgerechter Einstieg in die 1 nformationssicherheit,
  • überschaubare Kosten,
  • anerkannter Nachweis eines ISMS,
  • Vertrauen bei interessierten Parteien,
  • Handlungs- und Rechtssicherheit,
  • gegebenenfalls Förderung der Beratungs­und Zertifizierungskosten,
  • Upgrade auf ISO/IEC 27001 beziehungs-weise BSI IT-Grundschutz möglich.
     

Prozessaudits als Alternative

Für Unternehmen, die kein vollumfängliches Managementsystem einführen wollen oder planen, ein bestehendes Managementsys­tem um ein konkretes Thema zu ergänzen, sind Prozessaudits eine gute Alternative. Zur­zeit besonders gefragt: Datenschutzaudits, Lieferantenaudits und Complianceaudits.

 

Datenschutzaudit - sichere Umsetzung der neuen DSGVO

Seit dem 25. Mai 2018 wird die bereits zwei Jahre zuvor in Kraft getretene EU-Daten­schutz-Grundverordnung (DSGVO) umge­setzt- aber die Unsicherheit, wer in welchem Fall wozu genau verpflichtet ist, scheint un­gebrochen. Die Gefahr, aus Unkenntnis gegen die Verordnung zu verstoßen und mit emp­findlichen Bußgeldern belegt zu werden, ist alles andere als gebannt. Was dabei oft miss­verstanden wird: Die DSGVO fokussiert auf den Umgang mit personenbezogenen Daten, nicht auf Informationssicherheit.

Ist ein Unternehmen von der DSGVO betrof­fen, kann ein Datenschutzaudit der DQS in Form einer „Gap-Analyse" durchgeführt wer­den. Zuvor sollte sich das Unternehmen über die Anforderungen und Maßnahmen zu deren Umsetzung informieren, zum Beispiel bei Webinaren und/oder Workshops. Im Mittelpunkt des Audits steht eine Selbstbewertung mit Dokumentenprüfung. Vor Ort wird die Ein­haltung der entscheidenden Aspekte geprüft. Das Unternehmen erhält im Anschluss an das Datenschutzaudit eine Bewertung, inwieweit es die Anforderungen der DSGVO erfüllt und wo Handlungsbedarf besteht. Die Vorteile eines Datenschutzaudits sind:

  • Informationen über Handlungsfelder,
  • Informationen über verdeckte Potenziale,
  • nach Umsetzung von Maßnahmen Rechts­sicherheit beim Umgang mit Daten,
  • sehr gute Ausgangsbasis für den Aufbau eines Datenschutz-Managementsystems.

 

Lieferantenaudits - Qualität in der Lieferkette

Lieferantenaudits orientieren sich an den Bedürfnissen des beauftragenden Unterneh­mens. Sie dienen der Lieferantenbewertung, aber auch der Lieferantenentwicklung. Die Audits fördern über die gesamte Lieferkette hinweg Stärken und Schwächen der externen Anbieter sowie mögliche Risiken zutage - Stichwort „Sehwachstei lena nalyse". Da bei geht es um die zentralen Pfeiler für eine welt­weit erfolgreiche Lieferantenbeziehung - deren Gewährleistung ist gleichzeitig der Hauptnutzen der Audits:

  • Einhaltung der Prozesse,
  • Einhaltung der vereinbarten Qualität von Produkten oder Dienstleistungen,
  • Sicherstellung von Liefer- und Termintreue. Die Ergebnisse helfen Unternehmen, Risiken einzugrenzen, und bieten damit erhöhte Rechtssicherheit und eine verbesserte Quali­fizierung gegenüber den eigenen Kunden.

Compliance-Audits

Compliance rückt als erfolgskritisches Thema immer mehr ins Bewusstsein von Führungs­kräften. Das Wort bedeutet nichts weniger als „Regeltreue" und dazu gehört auch ethisches Verhalten und verantwortungsvolles Handeln. Umgekehrt schafft wirksames Compliance­Management wiederum Rechtssicherheit im Unternehmensalltag; die Frage ist allerdings, wie wirksam das Compliance-Management in der Praxis tatsächlich ist. Die Antwort darauf erhalten Unternehmen anhand eines unter­nehmensspezifischen Compliance-Audits. Als Grundlage für ein solches Audit (bei Bedarf auch für ein komplettes, zertifizierbares Com­pliance-Managementsystem) dient in der Regel der vor rund fünf Jahren erschienene Leitfaden ISO 19600, die Bescheinigung über die Durch­führung des Audits hat eine Gültigkeit von drei Jahren. Möglich sind Compliance-Audits auch auf der Basis des vom Institut der Wirtschafts­prüfer entwickelten Prüfstandards IDW PS 980. Der Nutzen eines Compliance-Audits:

  • Analyse von Compliance-Risiken,
  • Rechtssicherheit im Unternehmensalltag,
  • Reduzierung von Haftungsrisiken,
  • Steigerung des Unternehmensimages.