Wie sich durch die Kombination von Informationssicherheit und Qualitätsmanagement nachhaltige Wettbewerbsvorteile erzielen lassen

Ein Managementsystem ist ein Gerüst von Prozessen und Abläufen, die dazu dienen, dass alle Aufgaben und Tätigkeiten in einem Unternehmen reibungslos verlaufen und die Zielvorgaben erreicht werden können. Dabei folgen alle Managementsysteme der gleichen Systematik, nehmen jedoch unterschiedliche Perspektiven ein. Sie können auch als System der Unternehmensführung bezeichnet werden und verbinden einzelne Methoden, Vorgänge und andere Elemente zu einem vernetzten, systematischen Modell des Unternehmens, mit dessen Hilfe die effiziente Funktion – etwa die reibungslose Wiederholbarkeit von Vorgängen – gemessen und überprüft werden kann.

In der Regel stellen heutige Managementsysteme ein Minimalsystem als Standard zur Unternehmensführung bereit. Die Einführung und der Aufbau von Managementsystemen ist Aufgabe der Unternehmensführung. Um die inhaltliche Wirksamkeit von Managementsystemen beurteilen zu können, bieten sich Audits an. Das heute bekannteste Managementsystem ist das Qualitätsmanagementsystem nach ISO 9001.

Neben dem Qualitätsmanagement gibt es für verschiedene andere Bereiche vom Umwelt- und Energiemanagement bis hin zu Risiko- und Informationssicherheitsmanagement (ISO 14001, ISO 50001, ISO 31000, ISO 27001) eine Vielzahl weiterer auditierbarer und zertifizierbarer Managementsysteme, die sich auch kombinieren lassen. In diesem Fall spricht man von einem integrierten Managementsystem.

Sinn und Zweck integrierter Managementsysteme

Das integrierte Managementsystem (IMS) verbindet die ursprünglich getrennten (Teil-) Managementsysteme zu einem einheitlichen und ganzheitlichen Ansatz, der alle Aspekte und Aufgaben ganzheitlich umfasst. Zwischen den themenspezifischen Einzelsystemen bestehen zahlreiche Überschneidungen. Diese können zur Vernetzung der Teilsysteme und zum Aufbau eines integrierten Managementsystems genutzt werden und helfen dabei unklare Verantwortlichkeiten, Doppelarbeiten und widersprüchliche Lösungsansätze zu vermeiden. Eine Verknüpfung der Teilsysteme minimiert Konflikte im Management, sorgt für eine abgestimmte Zielsetzung und liefert eindeutige, möglichst quantifizierbare Vorgaben.

Insbesondere für mittelständische Unternehmen sind schlanke Organisationsstrukturen und schnelle Reaktionsfähigkeit zentrale Erfolgsfaktoren. Um den Aufbau und die Implementierung von Managementsystemen für diese Zielgruppe zu erleichtern und den Aufwand zu reduzieren, hat die Internationale Organisation für Normung (kurz: ISO) bereits in vielen ISO-Standards eine einheitliche Struktur verwendet (High Level Structure).

Für den praktischen Nutzen lassen sich diese Vorteile eines integrierten Managementsystems zusammenfassen:

  • Nutzung von Synergieeffekten (z.B. einheitliche Verfahren und Instrumente)
  • Reduzierung von Verwaltungsaufwand durch gemeinsame Dokumentation der Einzelsysteme
  • Identifizierung und Optimierung von Schnittstellen
  • Steigerung der Effizienz durch Vermeidung von Doppelarbeiten
  • Vereinfachung komplexer Prozess- und Organisationsstrukturen
  • Aufdeckung widersprüchlicher Anforderungen und möglicher Zielkonflikte
  • Einsparung von Kosten und Zeit
  • Erhöhung der Akzeptanz bei den Mitarbeitern

Entscheidend für die Umsetzung ist die integrative ganzheitliche Haltung und Praxis der Unternehmensführung (oberste Leitung) und die Abbildung in der mittleren Führungsebene.

Regulatorische Anforderungen und Kunden erfordern ein zertifiziertes Managementsystem.

Durch den systematischen Ansatz sind Managementsysteme schon als internes Steuerungsinstrument beispielsweise zur Effizienzmessung ein wertvolles und mächtiges Werkzeug für die Unternehmensführung. Immer häufiger erfordern es aber regulatorische Anforderungen, dass ein Managementsystem in einem Zertifizierungsaudit durch Dritte geprüft wird. Auch Kunden können je nach Branche ein zertifiziertes Managementsystem einfordern: Als Beispiel sei hierbei auf die Automobilbranche verwiesen, die in den letzten Jahren einen weitaus stärkeren Fokus auf die Einhaltung von Vorgaben zum Umgang mit geschäftskritischen Daten und Information insbesondere im Bereich des Prototypenschutzes bei Zulieferern gesetzt hat. Für Betreiber Kritischer Infrastrukturen (KRITIS) und insbesondere auch für Energieversorgungsunternehmen mit eigenem Netzbetrieb ist ebenfalls ein zertifiziertes Managementsystem für Informationssicherheit (ISMS) verpflichtend durch den Gesetzgeber vorgeschrieben. Gleiches gilt in vielen Branchen für das Qualitätsmanagement – ohne Zertifizierung gemäß ISO 9001 ist es für viele Unternehmen nicht mehr möglich, Kunden- und Lieferantenbeziehungen aufrechtzuerhalten oder weiterhin an Ausschreibungen teilzunehmen, da dies häufig eine explizite Anforderung geworden ist.

Grundsätzlich besteht jedoch häufig Wahlfreiheit, welche Methodik für den Aufbau und Betrieb eines Managementsystems zum Einsatz kommt. Neben den zahlreichen ISO-Normen, die häufig bei großen Unternehmen und Konzernen als Methode eingesetzt werden, gibt es auch hier speziell für kleine und mittelständische Unternehmen (KMU) pragmatischere Alternativen. So lässt sich ein Informationssicherheitsmanagementsystem nicht nur nach ISO 27001 aufbauen, sondern beispielsweise auch die Methodik des Bayrischen IT-Sicherheitsclusters namens ISIS12 anwenden, die in den letzten Jahren zunehmend erfolgreich bei Kommunen, öffentlichen Verwaltungen und KMUs eingesetzt wurde. ISIS12 kann deutlich aufwandsschonender und schneller implementiert werden, kann aber ebenfalls durch externe Zertifizierungsaudits geprüft werden.

Ein Managementsystem ist jedoch nicht statisch; kontinuierlich wandeln sich das Umfeld und der Kontext, in dem sich eine Organisation bewegt. Insofern muss sich das Managementsystem im gleichen Maße weiterentwickeln, um nicht nur operativ, sondern auch strategisch mit diesem Wandel Schritt zu halten. Hat sich eine Organisation für eine Zertifizierung entschieden, wird mindestens jährlich im Rahmen eines Überwachungsaudits geprüft, ob das Managementsystem noch angemessen ist. In einem 3-Jahres-Zyklus erfolgt jeweils eine Re-Zertifizierung.

Wettbewerbsvorteile durch integrierte Managementsysteme

Ein Managementsystem aufzubauen, die entsprechende Struktur zu definieren und die notwendige Dokumentation zu erstellen, ist zweifelsfrei nicht unerheblicher Aufwand hinsichtlich investierter Arbeitszeit und verursacht spätestens mit dem Schritt zu einer externen Zertifizierung auch Kosten.

Andererseits:

  • Messbare Ergebnisse (beispielsweise Prozesslaufzeiten, Ausschussquote)
  • Geringere Aufwände für Mitarbeitereinarbeitung durch dokumentierte Prozesse
  • Standardisierte und somit wiederholbare Vorgänge ohne Qualitätsschwankungen
  • Transparent nachvollziehbare Vorgänge (externe Überprüfbarkeit, Auditierung)
  • Höhere Resilienz gegen Betriebsunterbrechungen und Vermeidung von Ausfällen
  • Kostenreduktion durch geringere Fehlerquoten
  • Identifikation und Behandlung von Unternehmens- und IT-Risiken
  • Definition von technischen und organisatorischen Maßnahmen zur Vermeidung von Sicherheitsvorfällen und Datenschutzverstößen
  • Hohe Konformität zu regulatorischen Anforderungen

Strategieumsetzung durch das Managementsystem

Neben den bereits angeführten Vorteilen eines integrierten und auf die praktischen Handlungsfelder des Unternehmens ausgerichteten Managementsystems besteht ein wesentlicher Nutzen darin, alle Prozesse, Regelungen und Steuerungssysteme auf die Umsetzung der Unternehmensstrategie auszurichten.

  • Wer sind unsere erfolgsrelevanten Interessengruppen und was sind konkret deren Erwartungshaltungen an uns?
  • Welche Prozesse sind die wichtigsten zur Strategieumsetzung?
  • Sind alle Strategien und Ziele mit entsprechend definierten Prozessen verknüpft und umgekehrt?
  • Was sind die erfolgskritischen Prozessschritte und wie müssen diese konkret ausgestaltet sein?
  • Wie erfüllen wir konkret die Erwartungen unserer Interessengruppen?
  • Welche KPIs leiten sich daraus für uns ab?

Diese und weitere Fragen sollten bei der Gestaltung und Verfeinerung des Managementsystems regelmäßig beantwortet werden, um sicherzustellen, dass die Systeme und Abläufe im Unternehmen effektiv auf ein klares Ziel einzahlen: Die Umsetzung der Strategie!

Ein effektives Instrument, um dies zu gewährleisten, ist die systematische Bestimmung des Kontextes der Organisation als ein Basiselement, auf welches sich alle Managementsystembestandteile mehr oder weniger direkt beziehen sollten: Die internen und externen Umfeldfaktoren sowie die Interessengruppen mit ihren Erwartungshaltungen werden so systematisch erfasst und regelmäßig hinterfragt.

Fazit und Ausblick

Gerade das Zusammenspiel von Managementsystemen, die nicht-funktionale Anforderungen wie Informationssicherheit und Qualitätssicherung beinhalten, bieten sich für die Schaffung von Synergien an, da sie methodisch vollständig kompatibel zueinander sind und bereits erfolgte Vorarbeit im jeweils anderen Managementsystem zu einem hohen Grad direkt wiederverwendet oder mit geringem Aufwand angepasst werden kann. Im Zielbild bekommt die Unternehmensführung ein sehr wirkungsvolles Führungs- und Steuerungsinstrument, welches dabei hilft, Fehlerquellen zu identifizieren und zu vermeiden, Transparenz über Abläufe und Prozesse im Unternehmen schafft und letztlich dabei unterstützt, Kosten bei höherer Qualität und schnelleren Prozessdurchläufen einzusparen.

Möchten auch Sie erfahren, wie Sie ein integriertes Managementsystem für Informationssicherheit und Qualitätsmanagement in Ihrem Unternehmen auf- oder ausbauen können? Nutzen Sie unser regelmäßiges Angebot an Informationsterminen und Workshops, welches sich exklusiv an Unternehmensinhaber und Geschäftsführer wendet.

Aktuelle Termine finden Sie unter www.networker.nrw


Carsten Marmulla ist ein erfahrener Managementberater mit den Themenschwerpunkten Informationssicherheit, IT-Compliance, IT-Sicherheit und IT-Governance. Er verfügt über eine langjährige Berufserfahrung in der IT- und Managementberatung und ist u.a. als interner Auditor für den internationalen ISO-Standard 27001 zertifiziert.

Mike Emenako erlangte Abschlüsse und Zertifikate von Cambridge, der Federal University of Technology sowie der University of London, bevor er an der Ruhr-Universität Bochum den Diplom-Ingenieursgrad im Maschinenbau abschloss. Am 1.7.2003 gründete Mike Emenako nach langjähriger Erfahrung als Berater und Trainer das Management Institut Bochum, welches im Januar 2004 in die heutige mib Management Institut Bochum GmbH überführt wurde.

Holger Doering ist gelernter Verlagskaufmann und studierter Betriebswirt und begleitet seit einigen Jahren mittelständische Organisationen bei ihrer Weiterentwicklung. Im Mittelpunkt steht dabei die Einführung von Managementsystemen zur Steuerung der Organisation und zum Management von Qualität, Kundenanforderungen und gesetzlichen Anforderungen. Orientierungsrahmen sind dabei die DIN EN ISO 9001 und das EFQM Excellence Modell. Daraus resultierend berät er Unternehmen in Fragen des Prozessmanagements und der Strategieentwicklung.

Kennen Sie schon den aixvox-Newsletter?

Lassen Sie sich einmal im Monat kostenlos über die aktuellsten Workshops, Messen, Seminare und Webinare informieren!

Sie haben erfolgreich den aixvox-Newsletter abonniert!