Dieser Artikel bildet den Abschluss der Trilogie zur Managementbewertung, worin ich die verbleibenden Anforderungen der ISO 9001 und ISO 27001 erkläre. Hier bildet vor allen Dingen die Risikoanalyse eine wichtige Anforderung. Der erste Teil beschäftigte sich mit den generellen Anforderungen an die oberste Leitung und dem Bericht. Im darauffolgenden zweiten Teil habe ich bereits einen Anteil der geforderten Informationen bezüglich der Unternehmensentwicklung erläutert.
Status von Maßnahmen vorheriger Managementbewertungen (ISO 9001 + ISO 27001)
Diese erste Anforderung ist naheliegend und logisch: Wie weit ist es um die beim letzten Mal beschlossenen Maßnahmen gediehen? Greifen Sie dazu auf den letzten Bericht zur Managementbewertung zurück.
Nutzen Sie zusätzlich aktuelle Dokumente oder Dateien wie Qualitätsprogramme, Projektpläne oder Statusberichte der einzelnen Zuständigen. Daraus gewinnt die oberste Leitung einen Überblick über die aktuelle Situation.
Aufgrund dieser Informationen ändert die oberste Leitung in dem nun stattfindenden Managementreview möglicherweise verschiedene Beschlüsse:
- Prioritäten ändern
- Aufgaben neu zuweisen
- Projekte stoppen
- Beschlüsse als irrelevant identifizieren
Veränderungen bei externen und internen Themen, die das Managementsystem betreffen (ISO 9001 + ISO 27001)
Die Anforderung nach internen und externen Themen bezieht sich auf das Kapitel „Verstehen der Organisation und ihres Kontextes“ (Kap. 4.1). Die Organisation muss die externen und internen Themen identifizieren, überwachen und überprüfen. Sollte sich bei den Themen eine Änderung abzeichnen, die für das Managementsystem relevant ist, müssen die Informationsflüsse an oberste Leitung funktionieren.
Die Anmerkungen in der Norm zu diesem Kapitel helfen ein wenig weiter. ISO 9001 unterscheidet interne und externe Themen sehr gut in zwei Anmerkungen. Interne Themen beziehen sich auf Werte und Kultur der Organisation. Sie sind sozusagen „hausgemacht“. Darunter können Werte-Diskussion der Führung (Strategie), Compliance-Regeln, Gründung eines Betriebsrats usw. fallen.
Externe Themen kommen von außen, allen voran Gesetze. Es reicht nicht, ein Rechtskataster anzulegen (meist als Exceltabelle dargestellt). Es bietet lediglich eine Übersicht (die sehr hilfreich ist!). Eine zuständige Person muss sich um den aktuellen Wissensstand kümmern und bei Bedarf die oberste Leitung informieren. Die Person sollte kompetent sein, diesen Bedarf abzuschätzen.
Die oberste Leitung entscheidet über den Handlungsbedarf, der aufgrund der Änderung entsteht. Dies kann zu jedem Zeitpunkt im Geschäftsjahr geschehen und wird im Bericht zur Managementbewertung dokumentiert.
Möglichkeiten zur (fortlaufenden) Verbesserung (ISO 9001 + ISO 27001)
Die Anforderung ist im Grunde selbsterklärend. Der Grundsatz der Verbesserung ist eine wesentliche Säule des Managementsystems. Die Quellen für die Anregungen sind unterschiedlich und vielfältig: Vorschläge von Mitarbeitern, Eindrücke von Fachmessen, Vorträge, Studien, Ideen von Partnern oder der obersten Leitung selbst.
Angemessenheit von Ressourcen im Review bewerten (ISO 9001)
Die prozessorientierte ISO 9001 stellt eine regelmäßige Überprüfung von Ressourcen in den Raum. Dazu gehören z.B.:
- Personalbedarf (Anzahl und Qualifikationen) im Hinblick auf die Strategie
- Betriebsbegehungen (Infrastruktur)
- Investitionen in Arbeitsplatzausstattungen, Anlagen und Maschinen (Infrastruktur)
- Begutachtung der Klimaverhältnisse (Prozessumgebung)
- Psychologische Gefährdungsanalyse (Prozessumgebung, ArbSchG)
- Gesundheitsmanagement (Prozessumgebung)
- Personal, Geräte und Prozesse zur Prüfmittelüberwachung (Ressourcen zur Überwachung und Messung)
- Maßnahmen zum Erfahrungsaustausch (Wissen der Organisation)
Wirksamkeit von durchgeführten Maßnahmen zum Umgang mit Risiken und Chancen (ISO 9001)
Zu einem Zeitpunkt im Jahr werden im QM-System Risiken und Chancen analysiert. Daraufhin werden entsprechende Maßnahmen geplant und umgesetzt. Der Maßnahmenplan wirkt sich in den einzelnen Prozessen aus und ist Bestandteil der Prozessdokumentation.
Zu einem späteren Zeitpunkt führt die oberste Leitung die Managementbewertung durch. Die oberste Leitung überprüft die Maßnahmen bezüglich ihrer Wirksamkeit.
Die oberste Leitung trifft eine Entscheidung, welche Behandlung von Risiken sie delegiert (und künftig nur darüber informiert wird) und welche in ihrer eigenen Entscheidungshoheit liegen. Zertifizierungsauditoren fragen an dieser Stelle gerne nach einer Risikomatrix. Damit ist eine Übersicht gemeint, keine bestimmte Art der Dokumentation.
[/su_spoiler]
Ergebnisse der Risikobeurteilung und Status des Plans für die Risikobehandlung (ISO 27001)
Die ISO 27001 verfolgt eine vergleichbare Anforderung: Risiken zur Informationssicherheit zu ermitteln und zu beurteilen sind Kern der ISO 27001. Die Beurteilung ist eine Risikoeinschätzung und liegt in der Managementbewertung erneut zur Beurteilung vor. Eine Übersicht zeigt den ursprünglichen Plan und den Status der einzelnen Maßnahmen. Organisieren Sie den Informationsfluss an die oberste Leitung.
Organisation und Inhalte der Managementbewertung
Es gehört zu den Aufgaben eines oder einer QMB, die Managementbewertung organisatorisch vorzubereiten. Die oberste Leitung muss festlegen, welche Informationen auf welchem Weg zu welchem Termin von wem bereitgestellt in die Managementbewertung einfließen. Manche Informationen stehen im IT-System zum Abruf bereit, was die Arbeit vereinfacht.
Bitte überprüfen Sie regelmäßig, ob die Kolleginnen und Kollegen die organisatorischen Abläufe wie geplant einhalten und unterstützen Sie die ständige Verbesserung. Auch die Managementbewertung selbst unterliegt dem Prinzip der Verbesserung.
Die Inhalte der Managementbewertung sind in den Systemnormen festgelegt. Ihre Aufgabe besteht darin, diese Anforderungen betrieblich zuzuordnen. Eine Zusammenarbeit mit der obersten Leitung bezüglich der Zuordnung ist sehr hilfreich.