Analoges Tool zur Unternehmensführung: MS Word
Unabhängig von der Größe eines Unternehmens, jedes nutzt eine eigens adaptierte Managementlösung, um Unternehmensziele konsequent zu erreichen. Aufeinander abgestimmte Handlungsanweisungen werden für Mitarbeiter zum Nachlesen in Schriftform zur Verfügung gestellt. Vom KMU bis zum Konzern kommen bis heute MS-Word-Dokumente zum Einsatz.
Besonders auffällig ist die Nutzung von Verbesserungs- und Erweiterungskommentaren. Im Laufe von Jahren werden so aus simplen Erklärungen und Darlegungen unübersichtliche Schriftstücke mit unzähligen Ergänzungen. Eine komplette Übersicht zu allen im Unternehmen verfügbaren Handlungsanweisungen gibt es nicht. Die Sorgfaltspflicht in der Führungsebene konnte sich analog auf besondere Auffälligkeiten ausweiten oder eine entsprechende Risikoanalyse bereitstellen. Eine Verknüpfung bestimmter Daten oder Inhalte gibt es nicht, somit ist deren Nutzung im laufenden Betrieb von Routineprozessen sowie einer flächendeckenden Verteilung abhängig. Die Integration einer Managementsystemlösung würde nicht nur den Regelbetrieb vereinfachen, sondern liefert wichtige Nachweise in der Sorgfaltspflicht von Führungskräften.
Vor- und Nachteile im Unternehmensalltag
MS Word liefert intern zwar die Möglichkeit, unzählige Unternehmensdokumente, Risikoeinschätzungen, Handlungsanweisungen oder Unterlagen zu Gerichtsverfahren bereitzustellen, eine Auswertung oder Verbindung dieser Informationssammlung ist nicht möglich. Dafür bedarf es eines übergeordneten Kontrollsystems, um Betriebsabläufe optimal zu gestalten oder neue Märkte für Produkte zu erschließen. Hinzu kommen die Herausforderungen von Planung, Organisation und Sales-Abschlüssen im internationalen Vertrieb.
Ein adäquater Vergleich zwischen digitaler und analoger Managementlösung legt zwei Szenarien offen. Zum einen ergibt sich bei der Verwendung von MS Word kein Einschulungsaufwand und zahlreiche Kommentare von anderen Autoren können mithilfe des Korrekturmodus ergänzt werden. Auch nach mehreren Adaptierungen ist noch immer erkennbar, von wem welche Änderungen vorgenommen wurden.
Unternehmen, die sich dafür entscheiden, MS Word als zusätzliches Werkzeug zu benutzen, sollten sich darüber im Klaren sein, dass sich dieses Programm hervorragend zur Erfassung von Texten eignet, sofern Handlungsanweisungen oder generelle Informationen das definierte Ziel sind. Das Dokumentationswerkzeug speichert sämtliche Versionsnummern von jeder Veränderung und sortiert Checklisten auf ihre Vollständigkeit, hat aber ein Problem Qualität und Eskalationsberichte entsprechend zu bewerten. Lediglich die Schriftlichkeit funktioniert. Isoliert von E-Mail- und Qualitätsmanagementsystemen entsteht ein analoges Datenvakuum.
Das digitale Managementsystem
Management heißt Vorbereitung und Organisation vor der Durchführung von Entscheidungen. Dabei unterliegen sämtliche Aspekte einer Unternehmensstruktur ähnlichen Mechanismen. Aufbau, Prozessketten, Informationsflüsse, rechtliche Bedingungen und soziale Hintergründe sowie besondere Marktlagen in einem internationalen Umfeld – es gibt zahlreiche Faktoren, die unendlich komplex sind und eine geeignete Managementlösung benötigen. Im Gegensatz zum analog funktionierenden Word-Dokumenten-Austausch sind im modernen digitalen System alle Informationen sofort zur Hand und in einem übersichtlichen Dashboard kombinierbar. Während früher mehrere voneinander getrennte Management-Tools gleichzeitig geführt wurden, gibt es seit vielen Jahren den Trend zur Managementsystemfusion. So existiert zur vollständigen Einhaltung unterschiedlicher Compliance-Regeln ein einheitliches Kontrollsystem zur Risikobewertung, Gerichtsverfahren, zu Handlungsanweisungen und Eskalationsberichten.
Diese Fusion ermöglicht in der aktuellen Informationstechnologie immer mehr verbindende Bereiche innerhalb eines Systems. Voraussetzung dafür ist ein modularer Aufbau mit hoher Standardisierung. Allen Segmenten steht eine entsprechende Erweiterungsoption zur Verfügung, die alle betrieblichen und rechtlichen Anforderungen hinsichtlich Geheimnis- und Datenschutz vollkommen genügt. Die Bestandteile des digitalen Managements müssen modular ausbaubar sein, um auf ändernde Bedingungen optimal und schnell reagieren zu können. Das System muss daher flexibel und damit modern sein.
Zur umsichtigen Führung helfen integrierte Systeme, sämtliche Norm- und Regelwerke zu bündeln und übersichtlich zu managen. Die Kompatibilität zu anderen Managementbereichen versorgt Abteilungen mit prozessorientierten Ansätzen zur Einhaltung des Datenschutzes, Evaluierung von Risiken und liefert wertvolle Informationen zu Compliance, Sicherheit, Qualität, Gesundheit und branchenspezifischen Normen. Die aufmerksame Beachtung von Regelwerk und gesetzlichen Vorschriften dieser Managementbereiche schafft eine „Schnittstelle“. Sie dient der Erleichterung beim Führen einzelner Bereiche, ermöglicht Audits und gewährleistet Aktualität und Gültigkeit im gesamten Unternehmen. Über Abteilungen und Befugnisgrenzen hinweg übernimmt das System die nach Szenarien und Regeln definierte Korrelation von Daten.
Methoden zur Durchführung einer Risikobewertung
Nach ISO 27001 haben Unternehmen in der Auswahl einer passenden Methodik freie Hand. Die Parameter in der Risikoanalyse unterliegen dem Ziel und Zweck. Daher können Standards mit Bausteinen zum IT-Grundschutz oder Vorgehensweisen in IT-basierten Umgebungen sehr gut definiert werden. Normempfehlungen für die Umsetzung ergeben sich aus ISO 27005, wobei eine fundierte Risikoanalyse mit der Bedrohungsermittlung beginnt. Das Sicherheitsmanagementsystem identifiziert Gefahrenquellen, die potenziellen Schaden an einer Sache oder einem Informationswert verursachen können. Bestimmte Umstände oder Ereignisse werden anhand von festgelegten Regeln evaluiert. Sie haben menschliche, natürliche oder durch Umgebungsbedingungen herbeigeführte Gründe. Daher sollten Unternehmen vor Einsatzreife ihres individualisierten Risikosystems eine Liste mit allen potenziellen und möglichen Gefahrenquellen aufzeigen, um die prognostizierten Schwachstellen im System besser schützen zu können.
Die Ermittlung von Sicherheitsschwächen in gültigen Verfahren und Prozessen der Informationsverarbeitung richtet sich zum einen an die Architektur des IT-Systems sowie dessen Implementierung. Zum anderen führen diese Interaktionsketten zu internen Kontrollen. Dies kann durchaus zu einer unabsichtlichen oder absichtlichen Nutzung von Schwachstellen führen. Ermittelt werden sie durch Penetrationstests oder mithilfe von automatischen Scanning-Tools. Im Besonderen bei technischen Sicherheitsschwächen wie Netzwerkkomponenten oder bestehenden Informationssystemen werden die Auswirkungen auf Basis der ermittelten Anforderungen bestimmt. Dieses Resultat bildet die Grundlage für eine Risikobewertung.
Digitale Zusammenarbeit – Handlungsanweisungen
Die Wertschöpfungskette beginnt nicht bei der Produktion von Waren oder mitten in Projektverhandlungen. Wissen in Form von gut strukturierten Anweisungen ist für Unternehmen ebenso von Wert wie die Verfügbarkeit reibungsloser Arbeitsabläufe. Die Basis dafür ist ein funktionierendes System zur Verwaltung von Dokumenten, indem Betriebswissen verfügbar gemacht wird. Zur digitalisierten Organisation von Handlungsanweisungen ist eine entsprechende Erfassung, Sortierung und Verfügbarkeit die wesentliche Voraussetzung.
Vom virtuellen Projektordner, E-Mail, über den Webbrowser bis zur App – Managementsystemlösungen bieten die perfekte Schnittstelle zwischen bestehenden Ablagemethoden. Fachverfahren und Anwendungen sind mit der ausgebenden Führungsebene verknüpft und in digitalen Ordnern zusammengefasst. Auch für den Fall, dass projektübergreifend gearbeitet wird, stehen die Anweisungen in verschiedenen virtuellen Mappen zur Verfügung, ohne dass es zu irreführenden Duplikaten kommt. Unter Beibehaltung des Datenschutzes sowie den geltenden Sicherheitsanforderungen liefern die Dokumente die Grundlage für eine funktionierende Weitergabe. Somit werden Arbeitsprozesse und Workflows effizienter.
Wichtig dabei ist, dass Änderungen wie die Versionierung von Anweisungen nachvollziehbar sind und nicht zu einem Mix aus verschiedenen Arbeitsversionen führen. Finden Handlungsaufforderungen keine Berücksichtigung mehr, dient das System als Archiv. Das entstandene Dokumentationsset wird von Teams oder der jeweiligen Führungsebene verabschiedet als auch freigegeben. Wo es dokumentarischen Anpassungsbedarf gibt, wird die Hauptarbeit durch sachlich kompetente Fachkräfte zusammengestellt.
Eskalationsberichte rechtzeitig auslösen
Das Umfeld verstehen und geplante Maßnahmen innerhalb der wesentlichen Grundlagen umzusetzen, lautet das Ziel. Im Qualitäts- und Risikomanagement geht es darum, Strategien und Visionen für den Betrieb zu erarbeiten und Führungskräfte für das Sicherheitsmanagementsystem zu begeistern, aber auch zu sensibilisieren. Die Rollen der Verantwortlichkeit und Kundenanforderungen zu verstehen oder Befugnisse festzulegen, braucht eine gewissenhafte Vorbereitung. Im Umgang mit Chancen, Risiken, Ressourcen und Qualitätszielen gilt es die richtigen Eskalationsszenarien festzulegen, damit das System rechtzeitig vor Abweichungen warnen kann.
Somit nimmt das Sicherheitsmanagementsystem unmittelbaren Einfluss auf die theoretische Konzeption und hilft bei der Umorientierung verschiedener unternehmensrelevanter Aspekte. Insbesondere bei spezifischen Kategorien sollen sowohl Entscheidungsprozesse als auch Routineabläufe abgebildet werden. Die Reflexion von organisatorischen Regeln treten in direkte Verbindung der unterschiedlichen Sichtweisen von Eskalationsmöglichkeiten. Im Zuge dieses Basisprozesses gelangen Unternehmen auf eine „Agenda“, um diese Warnungselemente zu reduzieren, aber gleichzeitig Reflexionen zu induzieren.
Neben Individualstrategien nehmen Szenarien und Regeln Einfluss auf die inhaltliche und prozessuale Ausrichtung. Im Mittelpunkt stehen daher Themen, Bereiche oder Prozessketten, die in ihrer Dimension nachhaltige Relevanz auf eine reibungslose Abfolge diverser Arbeiten haben. Welche Kennwerte, Ereignisse oder Termine überwacht werden sollen, wird in mehreren organisatorischen und zeitlichen Stufen überprüft. Ereignisgesteuerte Eskalationsberichte enthalten zudem einen Abarbeitungsstand eingeleiteter Maßnahmen, Aufgaben oder Prozesse, die es zu überwachen gilt. Diese vollkommen modulare und skalierbare Kommunikation führt zu einer nahtlosen Informationsstruktur mit normenkonformer und Compliance-sicherer Bewertung.
Umsetzung eines rechtssicheren Compliance-Managementsystems
Damit ein rechtssicheres System innerhalb des Unternehmens ohne Einschränkungen funktionieren kann, sortiert das Compliance-Managementsystem effektiv als auch organisationsweit alle maßgeblichen Verpflichtungen sowie die Einhaltung relevanter Gesetze. Die umfängliche Dokumentationslösung unterstützt Fachkräfte in Betrieben bei der Umsetzung rechtskonformer Handlungen. Sie bietet zudem eine rechtlich optimierte Basis, um langfristig erfolgreich sein zu können. Integrität und Compliance vermeiden den Ernstfall eines Verfahrens, das durch mangelhafte Sorgfalt eingeleitet werden könnte.
Zudem dient das System als Sicherstellung in der Beweisführung. Der Beleg für die Einhaltung von Verpflichtungen kann die Bemessung von Sanktionen oder Strafen durch Behörden berücksichtigen und entsprechend verringern. Unternehmen können mit und ohne Zertifizierungsnormen auf ein rechtssicheres Fundament aufbauen.
• Schaffung von Kontinuität sowie Sicherheit im unternehmerischen Handeln
• geringeres Haftungsrisiko
• Beweisführung in einem Gerichtsverfahren
• Nachweis der Einhaltung von unternehmerischen Sorgfaltspflichten
• Zuverlässigkeit dank Beachtung von vertraglichen oder gesetzlichen Regeln
• High Level Structure
Als Dokumentationspaket funktionierende Regelwerke nach ISO 27001 müssen dennoch in den Teams der Unternehmen selbst ihre Aufmerksamkeit erlangen, um entsprechende Vergleiche mit dem Status quo bestmöglich abzustimmen und betriebliche Prozesse anzupassen. Zur weiteren Betrachtung kann die IT-Sicherheit herangezogen werden, damit fachliche Aspekte mit den systemischen Anforderungen übereinstimmen. Aus wirtschaftlicher Sicht ergeben sich aus der Schaffung von Rechtssicherheit optimierte Arbeitsabläufe, die zum Mindeststandard zählen. Nicht immer sind die Erwartungen bei behördlichen Auflagen und Gesetzeinhaltungen einfach umzusetzen, ergeben aber in einer systematischen und strukturierten Weise klare Wettbewerbsvorteile.
Übergeordnetes Kontrollsystem
Die Voraussetzung für langfristige Erfolge von Unternehmen ist es, Risiken und Chancen frühzeitig zu erkennen, für sich zu nutzen, aber auch entsprechend zu steuern. Eine vollständige Basis von Dokumenten, die in einem übergeordneten Kontrollsystem verwaltet und im digitalen Managementsystem implementiert werden, setzt sich aus den verschiedenen Elementen zusammen. Neben ereignisabhängigen oder periodischen Handlungsanweisungen unterliegen auch Risikobewertungen einem Lebenszyklus.
Übergeordnete Ziele sind die Unterstützung nachhaltigen Wachstums sowie der Schutz von geistigem Eigentum und Vermögenswerten. Durch die systematische Berichterstattung erlangen Entscheidungen höchstmögliche Transparenz in operativen und finanziellen Prozessen. Zudem wird die Richtigkeit, Vollständigkeit und Aktualität innerhalb des Systems gewährleistet. Darin befindliche Dokumente stellen die Einhaltung von Richtlinien und Gesetzen sicher und sie regeln Verantwortlichkeiten als auch Zuständigkeiten.
Die Vorteile eines digitalen Managementsystems in der Praxis
Der Weg vom Papiertiger zum integrierten Managementsystem ist ein langer. Inzwischen haben sowohl Unternehmen als auch der Gesetzgeber erkannt, welche Bedeutung die Einführung digitaler Risikoindikatoren für die Früherkennung hat. Zur Handhabung geschäftsmodellabhängiger Herausforderungen dient das umfassende System als veritables Steuerungsinstrument. Neben klassischen Kontrolleinheiten wie die interne Revision übernehmen IKS und Compliance Management zunehmend wichtige Rollen. Sogenannte Schlüsselfunktionen bei der kontrollierten Weitergabe und Verteilung von Dokumenten schaffen einen erfolgreichen Nutzen und etablieren sich als integriertes Führungs- als auch wichtiges Informationssystem.
Über ein Dashboard und verschiedene Kontrollansichten ist klar zu erkennen, welche Durchführungsaufgaben gemeldet, aber noch nicht erledigt wurden und wie viele Maßnahmen in nächster Zeit bearbeitet werden müssen. Einen Überblick erhalten alle verantwortlichen und durchführenden Personen, um sich innerhalb der gesetzlich definierten Rahmenbedingungen zu bewegen. Wer welches Problem, wann und wie gelöst hat, ist ebenfalls essenzieller Bestandteil des lückenlosen Systems.
Doch es besteht großer Handlungsbedarf im Kontext der voranschreitenden Digitalisierung. Noch immer gibt es zu viele Insellösungen, die nur vereinzelt Risikoinformationen zur Synergiegewinnung preisgeben. Mit höherer Transparenz für das Management können relevante Risiken in wirksame Gegenmaßnahmen umgewandelt werden. Die fortschreitende Integration von verschiedenen Systemen bieten nicht zuletzt die Chance, Unternehmen einen klaren wirtschaftlichen Vorteil durch die Optimierung von Ressourcen, Arbeitsprozessen, die Einhaltung gesetzlicher Verordnungen sowie die Vermeidung rechtlicher Auseinandersetzungen. Aufwand und Umsetzung sind überschaubar.
Vergleichstabelle
Folgende Tabelle soll den Überblick erleichtern, wo digitale Managementsysteme weniger Aufwand für das Unternehmen verursacht und dadurch seine Vorteile geltend macht.
| Kennzeichen | MS-Word | Digitales Management System |
|---|---|---|
Erforderliche Werkzeuge | ||
| Kalender für Durchführungsaufgaben | notwendig | integriert |
| Checklisten für umfangreichere Durchführungsaufgaben | notwendig | integriert |
| Ablage für veröffentlichte Handlungsanweisungen | notwendig | integriert |
| E-Mailsystem zur Abstimmung und Synchronisierung aller beteiligter Personen | notwendig | integriert |
Einschulungskosten | ||
| Einschulungskosten für die Erstellung von Risikobewertungen | gering | mittel |
| Einschulungskosten für die Erstellung von Handlungsanweisungen | gering | gering |
| Einschulungskosten für die Nutzung für Durchführungsverantwortlich | mittel | mittel |
Risikobewertung | ||
| Aufwand für die Erstellung von Risikobewertung | hoch | gering |
| Aufwand beim Lebenszyklus von Risikobewertungen | hoch | gering |
| Aufwand beim Review und Wiedervorlage von Risikobewertungen | mittel | gering |
| Aufwand für die Verknüpfung von Risikobewertungen zu erforderliche Handlungsanweisungen | sehr hoch | gering |
| Aufwand für den Überblick über alle Risiken in einer Risikomatrix | mittel | gering |
Handlungsanweisungen | ||
| Aufwand für die Erstellung von Handlungsanweisungen | gering | gering |
| Aufwand für den Review von Handlungsanweisungen | gering | gering |
| Aufwand für die Wiedervorlage von Handlungsanweisungen | hoch | gering |
| Aufwand für die Verknüpfung von Handlungsanweisungen zu Ausführungsberichten und Eskalationsberichten | hoch | gering |
Ausführungsberichte | ||
| Aufwand für die Erstellung von Ausführungsberichten inkl. Checklisten als Vorlage | mittel | gering |
| Aufwand für die Meldung einer Eskalation | mittel | gering |
| Aufwand für den Überblick für Verantwortliche welche Handlungsanweisungen mit einer Eskalation versehen sind | hoch | gering |
Berichte und Eskalationsberichte an Verantwortliche | ||
| Aufwand für die Erstellung von Berichten und Eskalationsberichten | gering | gering |
| Aufwand für den Überblick über offene und geschlossene Berichte und Eskalationsberichte | hoch | gering |
Gesetze und Verordnungen | ||
| Aufwand für die Recherche nach Gesetzen und Verordnungen | gering | gering |
| Aufwand für das Merken von Unternehmensrelevanten Gesetzen und Verordnungen | mittel | gering |
| Aufwand für die Erstellung und Verknüpfung von Handlungsanweisungen zu ausgewählten Paragraphen von Gesetzen | hoch | gering |
| Überblick über unternehmensrelevante Gesetze und Verordnungen für die Handlungsanweisungen bestehen | hoch | gering |
| Überblick welche Gesetze und Verordnungen vor kurzem geändert wurden | mittel | gering |
Überblick über die Compliance Situation im Unternehmen | ||
| Aufwand für den Überblick über alle Risikobewertungen | mittel | gering |
| Aufwand für den Überblick welche Handlungsanweisungen zu Reviewen sind (jährlich) | hoch | gering |
| Aufwand für den Überblick welche Ausführungsberichte überfällig sind | hoch | gering |
| Aufwand für den Überblick welche Ausführungsberichte oder Berichte soeben eskaliert sind | hoch | gering |
| Aufwand für den Überblick welche Risikobewertungen sich aktuell einem kritischen Punkt nähern oder überschreiten | hoch | gering |
Compliance Nachweise für in Gerichtsverfahren | ||
| Kann nachgewiesen werden, dass alle betroffenen Mitarbeiter die Handlungsanweisungen kannten | hoch | gering |
| Kann nachgewiesen werden, dass alle Risiken vorab bewertet wurden | mittel | gering |
| Kann nachgewiesen werden, dass die Mitarbeiter die Kontrollen zeitgerecht und lt. Handlungsanweisung korrekt durchgeführt haben | hoch | gering |
| Wirkt das Managementsystem strafvermeidend oder strafmindern | kaum | ja |
Erhalten Sie mehr fachliche Expertise und wichtige Informationen zu den Softwaretools von TRINOM. Dieses Thema folgt: „Risikomanagement“.
Autor: Dr. Markus Resch
Verantwortlich für den Inhalt: Erwin Kettner/trinom informationssysteme GmbH
TRINOM Informationssysteme unterstützt bei der Einführung von Management- und Compliancesystemen. Für weitere Informationen zu diesem Thema oder zur TRINOM Software für Compliance Managementsysteme wenden Sie sich bitte an Herrn Erwin Kettner, Geschäftsführer der Trinom Informationssysteme GmbH (e-Mail: info@trinom.com).
