Startseite » Einkauf »

Regelwerke: Aktuelles aus der Welt der Managementsysteme

Neue Regelwerke und nachgefragte Prozessaudits – eine Übersicht
Aktuelles aus der Welt der Managementsysteme

Um ihre Ziele zu erreichen und Kundenanforderungen zu erfüllen, setzen Unternehmen auf (zertifizierte) Managementsysteme und Prozessaudits. Neben dem Dauerbrenner ISO 9001 für Qualität spielen zunehmend auch andere Themen eine gewichtige Rolle: Umwelt, Energie, Informationssicherheit, Arbeitsschutz oder Compliance. Hier auf dem Laufenden zu bleiben, ist eine Herausforderung, aber unverzichtbar.

Die Welt der Managementsysteme ist ständig in Bewegung. Es vergeht kaum ein Jahr, in dem kein (ISO-)
Regelwerk entweder nach Überarbeitung oder, etwas weniger häufig, als komplette Neuheit herausgegeben wird. Zwei Beispiele: die im März 2018 in Erstausgabe erschienene Norm ISO 45001:2018 für Sicherheit und Gesundheit bei der Arbeit (SGA) und die erstmals überarbeitete, im August 2018 veröffentlichte Energiemanagementnorm ISO 50001: 2018.

ISO 45001 – Premiere beim Arbeitsschutz

Die erste ISO-Norm zum Thema Arbeitsschutz ersetzt den 1999 erschienenen britischen Standard BS OHSAS 18001, dessen Gültigkeit nach dreijähriger Übergangsfrist am 11. März 2021 endet. ISO 45001 ist wie alle neueren ISO-Managementsystemnor men prozessorientiert, risikobasiert und berücksichtigt die interessierten Parteien eines Unternehmens. Beschäftigte werden mit Blick auf ihre Arbeitsumgebung und deren Schnittstellen aktiv und verantwortlich in das System eingebunden. Die oberste Leitung hat unter anderem die Aufgabe und Verantwortung, die Beschäftigten genau dazu zu befähigen. Vorteile der neuen SGA-Norm:

  • weltweite Anwendbarkeit und Anerkennung,
  • lückenlose Integration in bestehende ISO-Managementsysteme,
  • Vorrang der Prävention zur Verhinderung von Arbeitsunfällen,
  • umfassende Bewertung der Rechtssicherheit im Bereich SGA,
  • Anwender sind attraktivere Arbeitgeber, Stichwort: Fachkräftemangel.

Der Aufwand eines Unternehmens für Einführung und Zertifizierung hängt von den eigenen Voraussetzungen ab, der häufigste Fall: ISO 45001 ersetzt in einem bestehenden integrierten ISO-Managementsystem BS OHSAS 18001.

ISO 50001:2018 – Energiemanagement auf neuestem Stand

Die Energiemanagementnorm ISO 50001 wurde erstmals 2011 veröffentlicht; im Mittelpunkt steht die Verbesserung der Energieeffizienz. Durch die Erfüllung der Normanforderungen profitieren Unternehmen und Umwelt gleichermaßen:

  • Einsparung von Energie,
  • Senkung der Energiekosten,
  • Verringerung des CO2-Ausstoßes,
  • Bremsen des Klimawandels,
  • gegebenenfalls Steuerentlastung (Spitzenausgleich).

Seit 21. August 2018 können Unternehmen auf die neue Version ISO 50001:2018 zurückgreifen. Die Übergangszeit für bestehende Zertifikate nach der 2011er-Version endet am 20. August 2021, ab dem 20. Februar 2020 darf nur noch nach der neuen Norm-Version zertifiziert werden. Gründe für die Überarbeitung waren: Umstellung auf die gemeinsame Grundstruktur für Managementsysteme (High Level Structure) und eine Verbesserung der Anwendbarkeit, vor allem durch Klarstellung, Ergänzung oder Konkretisierung von Anforderungen.

Informationssicherheit boomt

Auch jenseits der großen ISO-Normen gibt es Wissenswertes über neue oder (noch) wenig bekannte Regelwerke. Wegen der fortschreitenden Digitalisierung und den damit verbundenen Risiken spielt Informationssicherheit heute eine bedeutende Rolle. Interessante Regelwerke in diesem Sektor sind etwa TISAX oder ISIS12.

TISAX – Informationssicherheit für die

automobile Lieferkette

Im Jahr 2017 hat der Verband der deutschen Automobilindustrie (VDA) den neuen Branchenstandard TISAX (Trusted Information Security Assessment Exchange) herausgebracht. Er zielt auf Zulieferer und Dienstleister der automobilen Lieferkette und soll eine Reihe von Vorteilen bieten:

  • Informationssicherheit für die Prozesse der Lieferkette,
  • Anerkennung der Prüfergebnisse durch alle VDA-Mitglieder,
  • Vermeidung von Doppel- und Mehrfachprüfungen,
  • umfassendes Vertrauen in geprüfte Lieferanten,
  • Prüfung zur TISAX-Zertifizierung nur alle drei Jahre.

Die TISAX-Assessments basieren auf einem Prüfkatalog (VDA ISA, aktuelle Version 4.1.0), dem die Anforderungen der Informationssicherheitsnorm ISO/IEC 27001 zugrunde liegen, ergänzt um branchenbezogene Themen wie Prototypenschutz, Anbindung Dritter und Datenschutz. Das Verfahren sieht drei Hauptschritte vor: Registrierung auf dem TISAX-Portal, Assessment oder Audit durch einen akkreditierten Prüfdienstleister (etwa die DQS) und Austausch der Auditergebnisse auf der TISAX-Plattform (nur nach Freigabe). Der erfolgreiche Durchlauf des Verfahrens wird in einem drei Jahre gültigen Abschlussbericht dokumentiert. Einige Hersteller verlangen für eine Zusammenarbeit inzwischen ein erfolgreich durchlaufenes TISAX-Assessment. TISAX kann übrigens auch von Unternehmen anderer Branchen für ihre Lieferkette angewendet werden, einige namhafte Unternehmen sind bereits dabei. Wichtig: Auch wenn es eine hohe Übereinstimmung mit ISO 27001 gibt – eine Zertifizierung nach der Norm ist im Verfahren nicht enthalten.

ISIS12 – Informationssicherheit für den Mittelstand

Für kleine und mittlere Unternehmen (KMU) kann ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 eine Nummer zu groß sein, die Anforderungen zu komplex. Für den Einstieg kann das vom Netzwerk für Informationssicherheit im Mittelstand entwickelte und vom Bayerischen IT-Cluster herausgegebene Regelwerk ISIS12 vollkommen ausreichen. Es ist branchenunabhängig und zugeschnitten auf KMU sowie Verwaltungen. Die DQS ist Partner für die ISIS12-Zertifizierung.

Die Einführung von ISIS12 sieht zwölf Schritte in drei Phasen vor. In Phase I wird eine Leitlinie zur Informationssicherheit erstellt und den Mitarbeitern vermittelt. In Phase II wird die Aufbau- und Ablauforganisation festgelegt, Phase III umfasst die Entwicklung und Umsetzung des Konzeptes. Ein Handbuch und ein Software-Tool begleiten den Anwender bei der Einführung. Zur Umsetzung der neuen DSGVO gibt es demnächst ein Zusatzmodul. Der Nutzen eines ISIS12-Zertifikats:

  • bedarfsgerechter Einstieg in die
    Informationssicherheit,
  • überschaubare Kosten,
  • anerkannter Nachweis eines ISMS,
  • Vertrauen bei interessierten Parteien,
  • Handlungs- und Rechtssicherheit,
  • gegebenenfalls Förderung der Beratungs- und Zertifizierungskosten,
  • Upgrade auf ISO/IEC 27001 beziehungsweise BSI IT-Grundschutz möglich.

Prozessaudits als Alternative

Für Unternehmen, die kein vollumfängliches Managementsystem einführen wollen oder planen, ein bestehendes Managementsystem um ein konkretes Thema zu ergänzen, sind Prozessaudits eine gute Alternative. Zurzeit besonders gefragt: Datenschutzaudits, Lieferantenaudits und Complianceaudits.

Datenschutzaudit – sichere Umsetzung der neuen DSGVO

Seit dem 25. Mai 2018 wird die bereits zwei Jahre zuvor in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) umgesetzt – aber die Unsicherheit, wer in welchem Fall wozu genau verpflichtet ist, scheint ungebrochen. Die Gefahr, aus Unkenntnis gegen die Verordnung zu verstoßen und mit empfindlichen Bußgeldern belegt zu werden, ist alles andere als gebannt. Was dabei oft missverstanden wird: Die DSGVO fokussiert auf den Umgang mit personenbezogenen Daten, nicht auf Informationssicherheit.

Ist ein Unternehmen von der DSGVO betroffen, kann ein Datenschutzaudit der DQS in Form einer „Gap-Analyse“ durchgeführt werden. Zuvor sollte sich das Unternehmen über die Anforderungen und Maßnahmen zu deren Umsetzung informieren, zum Beispiel bei Webinaren und/oder Workshops. Im Mittelpunkt des Audits steht eine Selbstbewertung mit Dokumentenprüfung. Vor Ort wird die Einhaltung der entscheidenden Aspekte geprüft. Das Unternehmen erhält im Anschluss an das Datenschutzaudit eine Bewertung, inwieweit es die Anforderungen der DSGVO erfüllt und wo Handlungsbedarf besteht. Die Vorteile eines Datenschutzaudits sind:

  • Informationen über Handlungsfelder,
  • Informationen über verdeckte Potenziale,
  • nach Umsetzung von Maßnahmen Rechtssicherheit beim Umgang mit Daten,
  • sehr gute Ausgangsbasis für den Aufbau eines Datenschutz-Managementsystems.

Lieferantenaudits – Qualität in der Lieferkette

Lieferantenaudits orientieren sich an den Bedürfnissen des beauftragenden Unternehmens. Sie dienen der Lieferantenbewertung, aber auch der Lieferantenentwicklung. Die Audits fördern über die gesamte Lieferkette hinweg Stärken und Schwächen der externen Anbieter sowie mögliche Risiken zutage – Stichwort „Schwachstellenanalyse“. Dabei geht es um die zentralen Pfeiler für eine weltweit erfolgreiche Lieferantenbeziehung – deren Gewährleistung ist gleichzeitig der Hauptnutzen der Audits:

  • Einhaltung der Prozesse,
  • Einhaltung der vereinbarten Qualität von Produkten oder Dienstleistungen,
  • Sicherstellung von Liefer- und Termintreue.

Die Ergebnisse helfen Unternehmen, Risiken einzugrenzen, und bieten damit erhöhte Rechtssicherheit und eine verbesserte Qualifizierung gegenüber den eigenen Kunden.

Compliance-Audits

Compliance rückt als erfolgskritisches Thema immer mehr ins Bewusstsein von Führungskräften. Das Wort bedeutet nichts weniger als „Regeltreue“ und dazu gehört auch ethisches Verhalten und verantwortungsvolles Handeln. Umgekehrt schafft wirksames Compliance-Management wiederum Rechtssicherheit im Unternehmensalltag; die Frage ist allerdings, wie wirksam das Compliance-Management in der Praxis tatsächlich ist. Die Antwort darauf erhalten Unternehmen anhand eines unternehmensspezifischen Compliance-Audits.

Als Grundlage für ein solches Audit (bei Bedarf auch für ein komplettes, zertifizierbares Compliance-Managementsystem) dient in der Regel der vor rund fünf Jahren erschienene Leitfaden ISO 19600, die Bescheinigung über die Durchführung des Audits hat eine Gültigkeit von drei Jahren. Möglich sind Compliance-Audits auch auf der Basis des vom Institut der Wirtschaftsprüfer entwickelten Prüfstandards IDW PS 980. Der Nutzen eines Compliance-Audits:

  • Analyse von Compliance-Risiken,
  • Rechtssicherheit im Unternehmensalltag,
  • Reduzierung von Haftungsrisiken,
  • Steigerung des Unternehmensimages.

 

Frank Graichen ist Leiter Auditorenmanagement der DQS GmbH, Frankfurt/M.

Unsere Webinar-Empfehlung


Hier finden Sie mehr über:
Aktuelles Heft
Titelbild Beschaffung aktuell 3
Ausgabe
3.2024
PRINT
ABO

Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de