Nr. 49 | Managementbewertung, Teil 1 von 3


Ist Ihre Managementbewertung für das nächste Audit schon gemacht? Entspricht sie den neuen Anforderungen der ISO 9001:2015? – Mit diesen Fragen kann ich die meisten QMBs und Qualitätsmanager in Unruhe versetzen. Daher die gute Nachricht: Das Grundkonzept der Managementbewertung ist in der neuen Norm konstant geblieben. Es müssen lediglich ein paar Aspekte mehr bewertet werden.
Ich halte es für wichtiger, nicht dieses Papierprodukt Managementbericht zu betrachten, sondern die Hintergründe und das Vorgehen.

Ein tolle Sache

Sie merken vielleicht schon, dass ich ein Fan der Managementbewertung bin. Immer wieder gewinne ich jedoch den Eindruck, dass die Managementbewertung eine äußerst ungeliebte Anforderung der Systemnormen ist, so eine lästige Dokumentationspflicht. In den meisten Unternehmen ist die Wichtigkeit im Rahmen einer Zertifizierung bekannt. Sie gilt als k.o.-Kriterium, sofern Anforderungen diesbezüglich nicht erfüllt werden. Aber der Reihe nach: Da es sich um ein komplexes Thema handelt, habe ich mich entschieden eine kleine Serie daraus zu machen, damit ich ein wenig in die Tiefe gehen kann. Bei der Gelegenheit betrachte ich neben der ISO 9001 auch gleich die Inhalte der ISO 27001 zum Informationssicherheits-Managementsystem (ISMS).

 

Teil des Systems

In einfachen Worten gesagt, ist die Managementbewertung das Betrachten des aktuellen Zustands des Unternehmens. Die oberste Leitung betrachtet das betriebliche Geschehen aus der Meta-Ebene. Noch einfacher gesagt: Sie geht ihrer unternehmerischen Pflicht nach. Während sich die Führungskräfte und Mitarbeiter dem Alltagsgeschäft widmen, ist es Aufgabe der obersten Leitung das gesamte Unternehmen zu führen. (In kleineren und mittleren Unternehmen hat sie meistens die Doppelrolle, auch im Tagesgeschäft aktiv mitzuwirken.) Dieser Aufgabe geht jede Geschäftsführung nach und sammelt dabei eigene Erfahrungen. ISO 9001 und ISO 27001 lassen die Geschäftsführung nicht alleine, sondern beraten, welche Informationen berücksichtigt werden müssen. Jede Geschäftsführung hat die Erfahrung gemacht, dass die regelmäßige finanzielle Auswertung durch einen Steuerberater nicht ausreicht, um ein Unternehmen zu steuern.

Gelegentlich diskutiere ich mit Geschäftsführern von kleineren Unternehmen, die im Tagesgeschäft mitarbeiten, die Bedeutung der Managementbewertung. Wir kommen im Grunde zu dem Schluss, dass es sinnvoll ist, aber aus zeitlichen Gründen vernachlässigt wird. Der Dialog geht ungefähr so:
„Wann kümmern Sie sich ums Geschäft generell?“
„Wenn ich mit dem Tagesgeschäft fertig bin.“
„Wann ist das meistens?“
„Beim Abendbrot… oder wenn was Dringendes anliegt.“
„Wie regelmäßig kommen Sie dazu?“
„Eigentlich zu selten. Über Strategie müsste ich öfter nachdenken, nicht erst, wenn es brennt.“
„Die Norm zwingt Sie zu einem regelmäßigen Intervall.“
„Ist ja eigentlich nicht verkehrt, dann mache ich es wenigstens.“

 

Aufgabe der obersten Leitung

Systemnormen stellen alle die Anforderungen, dass die Managementbewertung von der obersten Leitung durchzuführen ist. Dabei geht es nicht um die Frage, wer den Bericht tippt, sondern wer ihn unterschreibt und somit die Entscheidung zur verbindlichen Grundlage der Handlungen im Unternehmen macht. Kern der Managementbewertung ist das Treffen von Entscheidungen auf Basis von Informationen.

Die oberste Leitung sucht sich dazu in der Regel seine Gesprächspartner: QMB, Qualitätsmanager, Führungskreis oder externe Berater. Dazu äußert sich die Norm nicht; es ist also freie Entscheidung der Geschäftsführung, ob sie „einsame Entscheidungen“ fällt oder andere einbindet.

Erfahrungsgemäß ist es sehr effektiv, QMB und Führungskreis in die Diskussion und Entscheidungen einzubinden. Gemeinsam getroffene Entscheidungen werden besser verstanden und verinnerlicht als „Vorgaben von Oben“, die zunächst erklärungsbedürftig sind. Somit können Führungskräfte viel besser ihrer Aufgabe nachkommen, Multiplikatoren der Entscheidungen zu sein.

Eine Moderation durch eine externe Beratung ist sinnvoll, um das Vorgehen der Managementbewertung für alle zu einem routinierten Prozess zu machen.

 

Häufigkeit der Managementbewertung

Wie oft soll das Unternehmen geführt werden? – Eine ketzerische Frage, ich weiß. Die Normen fordern eine Managementbewertung „in geplanten Abständen“. Das kann so ziemlich jedes Intervall sein. Die Empfehlung lautet: mindestens einmal jährlich. Die Empfehlung leitet sich für zertifizierte Unternehmen aus dem jährlichen Besuch durch die Zertifizierungsgesellschaft ab, die verpflichtet ist jedes Mal die Managementbewertung zu auditieren.

Wie oft ein Bericht verfasst wird, ist das eine. Entscheidungen werden regelmäßig im Laufe des Jahres getroffen. Im Grunde ist jedes Strategie-Meeting des Führungskreises eine Managementbewertung. Üblicherweise werden diese protokolliert, womit in Summe ein Bericht entsteht. Achten Sie bei den Strategie-Meetings (oder wie die Treffen in Ihrem Haus auch immer heißen) auf die Agenda. Zur Normenkonformität müssen alle geforderten Eingaben (s. Tabelle unten) berücksichtigt werden. Weitere Themen darüber hinaus dürfen selbstverständlich berücksichtigt werden. Weitere Managementsysteme oder branchenspezifische Normen fordern dies vielleicht sogar.

 

Form und Ergebnisse der Managementbewertung

Ziel dieses Prozesses der Managementbewertung ist es, Beschlüsse zu treffen und Maßnahmen einzuleiten. Papier ist geduldig – Handeln ist gefragt. Aus dem Bericht sollte hervorgehen, welche Maßnahmen mit welchem Termin und Priorisierung beschlossen wurde und wer sich in der Folge mit der Planung auseinandersetzen soll (Zuständigkeit zuweisen). Das Ergebnis der Managementbewertung sind Entscheidungen. Hier entstehen ggf. neue Qualitäts- bzw. Informationssicherheitsziele. Im Normenkontext schließt hier das Kapitel Qualitäts- bzw. Informationssicherheitsziele und Planung zu deren Erreichung an (jeweils Kapitel 6.2 der Normen).

Das alles wird in einem Bericht festgehalten. Die Normen stellen keine formellen Anforderungen, sondern fordern lediglich das Vorhandensein der dokumentierten Information. Das kann ein mehrseitiger, ausführlicher Bericht sein oder eine Tabelle, die eventuell digital fortlaufend geführt wird.

Erfassen Sie die Ergebnisse und Maßnahmen so, dass für Ihr Unternehmen eine praktische Grundlage zum Handeln entsteht (und der Bericht nicht einfach nur dekorativ im Archivregal steht).

Um an den o.g. Dialog im kleinen Unternehmen anzuknüpfen:
„Die Norm fordert auch einen Bericht.“
„Dieses permanente Dokumentieren, wissense, das geht mir echt zu weit.“
„Können Sie sich denn merken, was Sie alles beschlossen haben?“
„Ja, sicher!“ (Mitarbeiter sagen: „Chef lebt das Adenauer-Prinzip: Was stört mich mein Geschwätz von gestern.“)

 

Anforderungen der ISO 9001 und ISO 27001

Die Eingaben für die Managementbewertung stellen die Informationen dar, die verpflichtend in der Managementbewertung berücksichtigt werden müssen. Inhaltlich werde ich in den nächsten beiden Newslettern darauf eingehen.

ISO 9001 ISO 27001
a) Status von Maßnahmen vorheriger Managementbewertungen a) Status von Maßnahmen vorheriger Managementbewertungen
b) Veränderungen bei externen und internen Themen, die QMS betreffen b) Veränderungen bei externen und internen Themen, die QMS betreffen
c) Informationen über die Leistung und Wirksamkeit des QMS, einschließlich Entwicklungen bei c) Rückmeldung über die Informationssicherheitsleistung, einschließlich Entwicklungen bei
1) Kundenzufriedenheit und Rückmeldungen von relevanten interessierten Parteien
2) Umfang, in dem Qualitätsziele erfüllt wurden
3) Prozessleistung und Konformität von Produkte und Dienstleistungen
4) Nichtkonformitäten und Korrekturmaßnahmen  1) Nichtkonformitäten und Korrekturmaßnahmen
5) Ergebnisse von Überwachungen und Messungen 2) Ergebnisse von Überwachungen und Messungen
6) Auditergebnissen 3) Auditergebnissen
7) Leistung von externen Anbietern 
4) Erreichung von Informationssicherheitszielen
d) Angemessenheit von Ressourcen d) Rückmeldung von interessierten Parteien 
e) Wirksamkeit von durchgeführten Maßnahmen zum Umgang mit Risiken und Chancen e) Ergebnisse der Risikobeurteilung und Status des Plans für die Risikobehandlung
f) Möglichkeiten zur Verbesserung f) Möglichkeiten zur fortlaufenden Verbesserung

Die inhaltliche Aufteilung für die nächsten beiden QMB Infobriefe können Sie hier schon erkennen: Teil 2 beschäftigt sich mit den fett gedruckten und Teil 3 mit den übrigen Anforderungen.

 

Foto (c) Petra Dirscherl | pixelio.de

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.