#49 | Managementbewertung, Teil 1 von 3

Managementbewertung ISO 9001 27001 Entscheidung Lesezeit: 4 Min.
Print Friendly, PDF & Email

Wenn Sie das Managementreview für das nächste Zertifizierungs-Audit dokumentieren, dann berücksichtigen Sie die Anforderungen der ISO 9001:2015. Darüber hinaus treffen Sie regelmäßig Entscheidungen für die Organisation, die Sie in einem Bericht festhalten. Ich halte es für wichtiger, nicht dieses Papierprodukt Managementbericht zu betrachten, sondern die Hintergründe und das Vorgehen.

Ein tolle Sache

Sie merken vielleicht schon, dass ich ein Fan der Managementbewertung bin. Immer wieder gewinne ich jedoch den Eindruck, dass die Managementbewertung eine äußerst ungeliebte Anforderung der Systemnormen ist, so eine lästige Dokumentationspflicht. Zum Beispiel ist sie in den meisten Unternehmenim Rahmen einer Zertifizierung bekannt und gilt als k.o.-Kriterium, sofern Anforderungen diesbezüglich nicht erfüllt werden. Aber der Reihe nach: Da es sich um ein komplexes Thema handelt, habe ich mich entschieden eine kleine Serie daraus zu machen, damit ich ein wenig in die Tiefe gehen kann. Bei der Gelegenheit betrachte ich neben der ISO 9001 auch gleich die Inhalte der ISO 27001 zum Informationssicherheits-Managementsystem (ISMS).

Teil des Systems

Wenn Sie die Managementbewertung durchführen, betrachten Sie den aktuellen Zustands des Unternehmens. Das heißt die oberste Leitung betrachtet das betriebliche Geschehen aus der Meta-Ebene, zum Beispiel im Rahmen eines Strategiemeetings. Noch einfacher gesagt: Die Geschäftsführung geht ihrer unternehmerischen Aufgabe nach. Während sich die Führungskräfte und Mitarbeiter dem Alltagsgeschäft widmen, ist es Aufgabe der obersten Leitung das gesamte Unternehmen zu führen. Nur in kleineren und mittleren Unternehmen (KMU) hat sie meistens die Doppelrolle, auch im Tagesgeschäft aktiv mitzuwirken. Dieser Aufgabe geht jede Geschäftsführung nach und sammelt dabei eigene Erfahrungen. ISO 9001 und ISO 27001 lassen die Geschäftsführung nicht alleine, sondern beraten, welche Informationen berücksichtigt werden müssen. Jede Geschäftsführung hat die Erfahrung gemacht, dass die regelmäßige finanzielle Auswertung durch einen Steuerberater nicht ausreicht, um ein Unternehmen zu steuern.

Gelegentlich diskutiere ich mit Geschäftsführungen von kleineren Unternehmen die Bedeutung der Managementbewertung. Wir kommen im Grunde zu dem Schluss, dass es sinnvoll ist, aber aus zeitlichen Gründen vernachlässigt wird. Der Dialog geht ungefähr so:
„Wann kümmern Sie sich ums Geschäft generell?“
„Wenn ich mit dem Tagesgeschäft fertig bin.“
„Wann ist das meistens?“
„Beim Abendbrot… oder wenn was Dringendes anliegt.“
„Wie regelmäßig kommen Sie dazu?“
„Eigentlich zu selten. Über Strategie müsste ich öfter nachdenken, nicht erst, wenn es brennt.“
„Die Norm zwingt Sie zu einem regelmäßigen Intervall.“
„Ist ja eigentlich nicht verkehrt, dann mache ich es wenigstens.“

Aufgabe der obersten Leitung

Alle Systemnormen stellen die Anforderung, dass die Managementbewertung von der obersten Leitung durchzuführen ist. Dabei geht es nicht um die Frage, wer den Bericht tippt, sondern wer ihn unterschreibt und somit die Entscheidung zur verbindlichen Grundlage der Handlungen im Unternehmen macht. Bevor es zur Entscheidung kommen kann, müssen Informationen ausgewertet werden. Diese sind von den Normen festgelegt, so dass alle Aspekte des Unternehmens berücksichtigt werden. Da jede Systemnorm einen inhaltlichen Schwerpunkt hat, sind diese Anforderungen darauf bezogen.

Die oberste Leitung sucht sich dazu in der Regel seine Gesprächspartner: QMB, Qualitätsmanager, Führungskreis oder externe Berater. Dazu äußert sich die Norm nicht; es ist also freie Entscheidung der Geschäftsführung, ob sie „einsame Entscheidungen“ fällt oder andere einbindet.

Führungskreis involvieren

Aus meiner Erfahrung ist es sehr effektiv, wenn die Geschäftsführung QMB und Führungskreis in die Diskussion und Entscheidungen einbindet. Weil die Entscheidungen gemeinsam getroffen werden, entsteht ein gemeinsames Verständnis. Somit können Führungskräfte viel besser ihrer Aufgabe nachkommen, Multiplikatoren der Entscheidungen zu sein.

Tipp Managementbewertung
Tipp QMB Infobrief

Die Managementbewertung ist in vielen Beratungsgesprächen mit meinen Kunden ein ausführlicheres Thema. Dabei treffe ich auf den Wunsch, nicht nur eine Anforderung für ein Zertifizierungsaudit umzusetzen wie es in den vergangenen Jahren gemacht wurde. Ein Unternehmen, das ein QM-System aufbaut, kann sich unter den Normenanforderungen nicht sehr viel vorstellen und wählt deshalb oft einen Grundstein, der dem Zertifizierungsaudit dient und nicht dem Unternehmen. Daher rate ich dazu, die erste Managementbewertung mit meiner Unterstützung zu machen und vielleicht noch ein zwei Jahre weiter mit meiner Moderation.

Häufigkeit der Managementbewertung

Sie haben in Ihrem Unternehmen Ihren eigenen Rhythmus für strategischen Sitzungen. Normen können diese Termine nicht vorgeben, sondern fordern als Intervall eine Managementbewertung „in geplanten Abständen“. Beachten Sie vor allem die gängige Empfehlung, sie mindestens einmal jährlich durchzuführen. Auch wenn eine Empfehlung unverbindlichen Charakter zu haben scheint, ist diese Empfehlung verbindlich. Die Empfehlung wird zur Pflicht, weil die Zertifizierungsgesellschaft die Managementbewertung bei jedem Zertifizierungs- und Überwachungsaudit auditieren muss.

Dabei ist eine Managementbewertung eigentlich keine neue Erfindung, denn Entscheidungen trifft die oberste Leitung und der Führungskreis im Laufe des Jahres sehr oft. Im Grunde ist jedes Strategie-Meeting des Führungskreises eine Managementbewertung. Üblicherweise werden diese protokolliert, womit in Summe ein Bericht entsteht. Achten Sie bei den Strategie-Meetings (oder wie die Treffen in Ihrem Haus auch immer heißen) auf die Agenda. Zur Normenkonformität müssen alle geforderten Eingaben berücksichtigt werden, die Sie weiter unten in der Tabelle finden. Weitere Themen darüber hinaus dürfen selbstverständlich berücksichtigt werden. Weitere Managementsysteme oder branchenspezifische Normen fordern dies vielleicht sogar.

Form und Ergebnisse der Managementbewertung

Ziel der Managementbewertung ist es, Beschlüsse zu treffen und Maßnahmen einzuleiten. Papier ist geduldig – Handeln ist gefragt. Aus dem Bericht sollte hervorgehen, welche Maßnahmen mit welchem Termin und Priorisierung beschlossen wurde und wer sich in der Folge mit der Planung auseinandersetzen soll (Zuständigkeit zuweisen). Das Ergebnis der Managementbewertung sind Entscheidungen. Hier entstehen ggf. neue Qualitäts- bzw. Informationssicherheitsziele. Im Normenkontext schließt hier das Kapitel Qualitäts- bzw. Informationssicherheitsziele und Planung zu deren Erreichung an (jeweils Kapitel 6.2 der Normen).

Das alles wird in einem Bericht festgehalten. Die Normen stellen keine formellen Anforderungen, sondern fordern lediglich das Vorhandensein der dokumentierten Information. Das kann ein mehrseitiger, ausführlicher Bericht sein oder eine Tabelle, die eventuell digital fortlaufend geführt wird.

Erfassen Sie die Ergebnisse und Maßnahmen so, dass für Ihr Unternehmen eine praktische Grundlage zum Handeln entsteht (und der Bericht nicht einfach nur dekorativ im Archivregal steht).

Um an den o.g. Dialog im kleinen Unternehmen anzuknüpfen:
„Die Norm fordert auch einen Bericht.“
„Dieses permanente Dokumentieren, wissense, das geht mir echt zu weit.“
„Können Sie sich denn merken, was Sie alles beschlossen haben?“
„Ja, sicher!“ (Mitarbeiter sagen: „Chef lebt das Adenauer-Prinzip: Was stört mich mein Geschwätz von gestern.“)

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

„Steht irgendwo geschrieben, dass der Bericht zur Managementbewertung ’streng vertraulich‘ sein sollte?“ – Meine Antwort im Video.

Anforderungen der ISO 9001 und ISO 27001

Die Eingaben für die Managementbewertung stellen die Informationen dar, die verpflichtend in der Managementbewertung berücksichtigt werden müssen. Inhaltlich werde ich in den nächsten beiden Newslettern darauf eingehen.

ISO 9001ISO 27001
a) Status von Maßnahmen vorheriger Managementbewertungena) Status von Maßnahmen vorheriger Managementbewertungen
b) Veränderungen bei externen und internen Themen, die QMS betreffenb) Veränderungen bei externen und internen Themen, die QMS betreffen
c) Informationen über die Leistung und Wirksamkeit des QMS, einschließlich Entwicklungen beic) Rückmeldung über die Informationssicherheitsleistung, einschließlich Entwicklungen bei
1) Kundenzufriedenheit und Rückmeldungen von relevanten interessierten Parteien 
2) Umfang, in dem Qualitätsziele erfüllt wurden
3) Prozessleistung und Konformität von Produkte und Dienstleistungen
4) Nichtkonformitäten und Korrekturmaßnahmen 1) Nichtkonformitäten und Korrekturmaßnahmen
5) Ergebnisse von Überwachungen und Messungen2) Ergebnisse von Überwachungen und Messungen
6) Auditergebnissen3) Auditergebnissen
7) Leistung von externen Anbietern  
 4) Erreichung von Informationssicherheitszielen
d) Angemessenheit von Ressourcend) Rückmeldung von interessierten Parteien 
e) Wirksamkeit von durchgeführten Maßnahmen zum Umgang mit Risiken und Chancene) Ergebnisse der Risikobeurteilung und Status des Plans für die Risikobehandlung
f) Möglichkeiten zur Verbesserungf) Möglichkeiten zur fortlaufenden Verbesserung

Die inhaltliche Aufteilung für die nächsten beiden QMB Infobriefe können Sie hier schon erkennen: Teil 2 beschäftigt sich mit den fett gedruckten und Teil 3 mit den übrigen Anforderungen.

Foto (c) Petra Dirscherl | pixelio.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.