Kategorie: Qualitätsmanagement

  • Integriertes Managementsystem ohne Bürokratie

    Integriertes Managementsystem ohne Bürokratie

    ISO 9001 / 27001 / 14001 in 12 Monaten – was C‑Level und Bereichsleitende wirklich brauchen

    Ein IMS soll steuern, nicht stören. Wer Prozesse, Risiken und Nachweise schlank verknüpft, erreicht Zertifizierungsreife in 12 Monaten – ohne Dokumentenfriedhof. Dieser Leitartikel richtet sich an Geschäftsführung, IT‑/Fachbereichsleitung und Qualitätsmanagement-Beauftragten (QMB) / Informationssicherheitsbeauftragten (ISB) / Umweltmanagementbeauftragten (UMB) / Datenschutzbeauftragten (DSB) und liefert einen pragmatischen Fahrplan.

    Warum ein IMS jetzt strategisch ist

    • Kundenerwartung & Lieferkette: ISO‑Nachweise sind Eintrittskarten in Ausschreibungen und Rahmenverträge.
    • Regulatorik: Informationssicherheit (ISO 27001) und Umweltwirkung (ISO 14001) stützen ESG‑Berichte; Datenschutz verzahnt die TOMs (DSGVO Art. 25, 32).
    • Wirtschaftlichkeit: Ein schlankes IMS reduziert Reibung: klar definierte Prozesse erhöhen die Produktivität nach Innen, Kennzahlen zeigen Schachstellen auf, Verantwortungen und Audits sorgen für einen konstanten Nachweis.

    Prinzipien eines schlanken IMS

    1. Prozess vor Dokument: Erst definieren, wie gearbeitet wird – dann minimal dokumentieren.
    2. Eine Wahrheit: Ein zentrales, versioniertes Ablagesystem (z. B. im eigenen DMS oder Intranet) als „Single Point of True“ statt Share‑Chaos.
    3. Rollen glasklar: Owner für jeden Prozess, KPIs und Risiken (RACI).
    4. Kennzahlen mit Konsequenz: Messen nur, was Entscheidungen auslöst.
    5. Audit als Motor: Interne Audits sind Gemba‑Walks, keine Prüfungsrituale.

    Zielbild (12 Monate)

    • Ein IMS, das Qualität (9001), Informationssicherheit (27001), Umwelt (14001) und den Datenschutz integriert: einheitliche Prozesslandkarte, gemeinsames Risikoregister, abgestimmte Ziele & KPIs, ein Auditprogramm, ein Managementreview.
    • Tool‑leicht: Gängige Tools wie Microsoft 365 oder das eigene Dokumentenmanagementsystem (DMS) als Backbone (Versionierung, Genehmigungen, Aufgaben, Audit‑Trails), Spezialtools nur bei echtem Mehrwert. (Ein neues Spezialtool hilft hier nur bedingt, da es sich um die Prozesse im eigenen Unternehmen handelt.)

    Typische Antipatterns – und wie man sie vermeidet

    • Schein-Dokumentation: 80‑seitige Handbücher ohne Relevanz → Lösung: Leitlinien mit maximal 4 Seiten, Prozesse als Flussbilder + Akzeptanzkriterien.
    • Rollenunklarheit: „QMB macht das schon“ → Lösung: Prozess‑Owner in den Linien, QMB/ISB/UM auf Fachkraft-Niveau coachen.
    • Excel‑Wildwuchs: 12 Fassungen derselben Liste → Lösung: eine versionierte Liste, klare Eigentümerschaft.
    • Tool‑Fokus: Software kaufen statt Prozesse klären → Lösung: erst Prozess / Controls, dann Tool‑Fit.
    • Audit‑Theater: Kosmetik vor dem Termin → Lösung: quartalsweise Mini‑Audits, Abweichungen mit CAPA (Corrective and Preventive Action, zu deutsch Korrektur- und Vorbeugungsmaßnahme) schließen.

    12‑Monats‑Fahrplan zur Zertifizierungsreife

    Q1 – Fundament & Scope

    • Unternehmenskontext definieren, Stakeholder identifizieren, Risiken/Chancen ableiten (gemeinsam für 9001 / 27001 / 14001 / Datenschutz)
    • Konkrete Leitlinien für Qualität, Informationssicherheit, Umwelt (jeweils 1–2 Seiten)
    • Prozesslandkarte (End‑to‑End) für das gesamte Unternehmen ermitteln, Prozess‑Owner pro Einzelprozess benennen und Verbindlichkeit herstellen
    • Risikoregister einrichten (einheitlich, inkl. Umweltaspekte & IS‑Risiken) und Maßnahmen ableiten
    • Ziele & Kennzahlen festlegen (Top‑5 pro Bereich), um eine Kontrollmöglichkeit zu schaffen
    • Backbone einrichten: strukturierte Ablage, Versionierung, Genehmigungen (z.B. im eigenen DMS oder Microsoft 365)

    Q2 – Wirksamkeit & Kontrollen

    • Kernprozesse definieren: Angebot → Auftrag → Leistung → Abschluss (inkl. Change / Incident / Nonconformity, zu deutsch Änderung, unerwarteter Vorfall, Abweichung)
    • 27001‑Controls auswählen (Top‑Risiken), Minimal‑Sicherheitsbaseline (MFA (Multifaktor Authentifizierung), PIM (Privilegiertes Zugriffsmanagement), DLP (Datenverlustprävention), Backup)
    • Umweltaspekte bewerten (Wesentlichkeit), Ziele/Aktionsplan
    • Lieferantensteuerung & AV‑Verträge (Auftragsverarbeiter) / SLAs (Service Level Agreement, zu deutsch Dienstleistungsvereinbarung) harmonisieren
    • Schulung & Awareness (rollenbasiert) – Nachweise im DMS dokumentieren
    • Internes Audit #1 (Stichproben), CAPA starten

    Q3 – Nachweise & Stabilisierung

    • Prozess‑KPIs (Key Performance Indicator, zu deutsch messbare Kennzahl) live, Monatsreporting in z. B. Power BI oder Tableau
    • Management der Nichtkonformitäten & Korrekturmaßnahmen (CAPA‑Board)
    • Business Continuity (Aufrechterhaltung des Kerngeschäfts) / Notfallabläufe (kritische Services, Übungen)
    • Life‑Cycle für Dokumente/Prozesse (Änderungssteuerung)
    • Lieferanten‑Reviews (kritische Partner), Risiken und Chancen aktualisieren
    • Internes Audit #2 (Fokus Wirksamkeit), CAPA schließen

    Q4 – Zertifizierungsreife

    • Managementreview: Zielerreichung, KPI‑Trends, Risiken, Ressourcen, Verbesserungen
    • Reifegrad‑Check gegen Normanforderungen (9001 / 27001 / 14001),
    • Erfüllungsgrad des Datenschutzes
    • Evidenzen bündeln: Prozessnachweise, KPI‑Historie, Auditberichte, CAPA, Trainings
    • Zertifizierungsaudit terminieren; Lessons Learned & Roadmap 12 Monate

    Rollen & RACI

    Diese Liste stellt die Rollen in Form von Responsible (Verantwortlich), Accountable (Rechenschaftspflichtig), Consulted (Beratend), Informed (Informiert) dar.

    Artikelinhalte

    Zentrale KPIs als Ausgangspunkt

    • Durchlaufzeit Prozessänderung (Antrag → Freigabe → Go‑live)
    • CAPA‑Lead‑Time und Wiederholrate von Abweichungen
    • Lieferanten‑Performance (Termintreue, Abweichungen, Sicherheitsvorfälle)
    • Security‑Baseline‑Erfüllung (% MFA / PIM / DLP aktiviert, Rezertifizierungs‑Quote)
    • Umwelt‑KPIs (Energieverbrauch kritischer Workloads, Reise‑km vs. Remote‑Quote)

    Regel: Jede KPI braucht Owner, Ziel, Datengrundlage und eine Standard‑Reaktion, wenn das Ziel verfehlt wird.

    DMS als Backbone

    Da jedes DMS ein wenig anders ist, nutzen wir das weit verbreitete Microsoft 365 als Referenz, dies kann jedoch auch mit anderen Lösungen identisch aufgebaut werden.

    • Dokumente & Prozesse: SharePoint mit Versionierung, Genehmigungsflows, Vorlagenbibliothek
    • Aufgaben & CAPA: Planner / Lists inkl. Verantwortliche, Fälligkeiten, Eskalationen
    • Audits & Nachweise: OneNote / Lists für Checklisten, Audit‑Logs in Purview
    • Reporting: Power BI‑Dashboard (KPIs, Abweichungen, CAPA‑Status)
    • Berechtigungen: Sensitivity Labels, DLP‑Richtlinien, Rezertifizierungen

    Häufige Fragen aus dem Management

    • „Wie viel Aufwand erfordert die Lösung?“ – QMB / ISB / UMB / DSB je nach Größe 0,2-0,5 FTE; Prozess‑Owner investieren regelmäßig Arbeitszeit in den eigenen Prozessen zur kontinuierlichen Verbesserung. Skaliert mit Anzahl der Standorte, Abteilungen und Einzelprozessen. Sprechen Sie uns an für eine erste Schätzung.
    • „Brauchen wir neue Tools?“ – Erst Prozesse / Controls; Microsoft 365 deckt alle Basisanforderungen ab. Spezialtools oder individuelle Konfigurationen optional für mehr Komfort und Automatisierung.
    • „Was prüft der Auditor?“ – Nicht die Länge der Doku, sondern Wirksamkeit: Werden Ziele erreicht? Risiken beherrscht? Nachweise sauber?

    Weiterführende Referenzen (Auswahl)

    • ISO 9001:2015 – Qualitätsmanagement
    • ISO/IEC 27001:2022 & 27002:2022 – Informationssicherheits‑Management & Controls
    • ISO 14001:2015 – Umweltmanagement
    • DSGVO Art. 25/32 – Privacy by Design, Sicherheit der Verarbeitung

    Fazit & Call‑to‑Action

    Ein integriertes, schlankes Managementsystem ist ein Wettbewerbsfaktor. Starten Sie mit klaren Rollen, wenigen, aber messbaren KPIs und kurzen Leitlinien. Alles andere wächst aus dem Betrieb heraus – nicht aus Vorlagenordnern.

    Nächste Schritte:

    • IMS‑Starterpaket (Vorlagen: Leitlinien, Prozesslandkarte, RACI, KPI‑Set)
    • Roadmap‑Workshop (½ Tag) – Scope, Ziele, 12‑Monats‑Plan
    • Audit‑Generalprobe (4 Wochen) – Mini‑Audits + CAPA bis zur Zertifizierungsreife

    (Beitrag und Bild wurden mit Unterstützung von KI erstellt)

  • Qualitätsmanagement im Projekt: Qualität beginnt nicht beim Testen

    Qualitätsmanagement im Projekt: Qualität beginnt nicht beim Testen

    Bisher haben wir geklärt, was das Projekt erreichen soll (Projektdefinition), warum es wirtschaftlich sinnvoll ist (Business Case), wer dafür verantwortlich ist (Rollen) und wie Entscheidungen getroffen werden (Governance).

    Nun kommt ein zentraler Punkt, der oft erst spät Beachtung findet – dabei ist er von Anfang an entscheidend: Qualität.

    Warum Qualität kein „Abnahme-Thema“ ist

    Viele verstehen Qualitätsmanagement im Projekt als Prüfung am Ende. Dabei ist Qualität etwas, das von Beginn an mitgedacht und gestaltet werden muss. PRINCE2 legt deshalb großen Wert auf qualitätsorientierte Planung, um sicherzustellen, dass Projektergebnisse:

    • den Erwartungen der Stakeholder entsprechen
    • messbare Anforderungen erfüllen
    • nachhaltig genutzt werden können

    Qualitätsmanagement sorgt dafür, dass wir nicht einfach etwas liefern – sondern das Richtige liefern.

    Was versteht PRINCE2 unter Qualitätsmanagement?

    Qualität im PRINCE2-Kontext bedeutet: definierte Anforderungen an Produkte oder Projektergebnisse werden in einem strukturierten Prozess gesichert.

    Dazu gehören:

    • Ein Qualitätsmanagementansatz (wie wird Qualität geplant, geprüft und dokumentiert?)
    • Ein Qualitätsregister (wer prüft was, wann, wie – und mit welchem Ergebnis?)
    • Produktbeschreibungen mit klaren Qualitätskriterien

    Wie setzen wir das in der Praxis um?

    Unser Qualitätsansatz beginnt vor dem ersten Arbeitsschritt – und ist ein integraler Bestandteil der Projektplanung:

    1. Qualität planen

    Wir legen gemeinsam mit den Stakeholdern fest:

    • Welche Qualitätsmerkmale sind entscheidend?
    • Welche Normen, Standards, Gesetze und Erwartungen gelten?
    • Wer prüft was – und wie dokumentieren wir das?

    Praxistipp: Wir nutzen sogenannte Produktchecklisten, die bei der Beschreibung von Arbeitsergebnissen helfen (z. B. Anforderungen an ein Konzeptdokument, Prototyp oder Testbericht).

    2. Qualität umsetzen

    Die definierte Qualität wird nicht „getestet“, sondern konsequent mitproduziert:

    • Teammitglieder kennen die Qualitätsanforderungen
    • Dokumentation und Tools (z. B. Templates) unterstützen die Umsetzung
    • Reviews sind Teil des Arbeitsprozesses, nicht nachgelagert

    3. Qualität sichern

    Qualitätsprüfungen erfolgen strukturiert:

    • Review durch interne Experten oder Project Assurance
    • Abnahme durch den Senior User oder andere benannte Prüfer
    • Ergebnisse werden im Qualitätsregister dokumentiert

    Praxistipp: Bei komplexeren Projekten setzen wir auf Qualitäts-Boards oder regelmäßige „Quality Syncs“ – kurze Formate, um frühzeitig auf Probleme zu reagieren.

    Was bringt das?

    Ein systematisches Qualitätsmanagement verhindert nicht nur teure Nacharbeiten, sondern steigert:

    • die Akzeptanz beim Nutzer
    • die Verlässlichkeit der Projektergebnisse
    • und das Vertrauen in die Projektdurchführung

    Vor allem aber sichert es, dass ein Projekt auch dann erfolgreich ist, wenn keiner mehr hinschaut – denn Qualität bleibt.

    Nächster Beitrag der Serie

    Im kommenden Teil widmen wir uns dem Thema Risikomanagement im Projekt – und zeigen, wie Risiken systematisch erkannt, bewertet und kontrolliert werden.

    Möchten Sie Qualität systematisch ins Projekt bringen?

    Wir helfen Ihnen, einen praxistauglichen Qualitätsansatz in Ihre Projektstruktur zu integrieren – abgestimmt auf Teamgröße, Branche und Projekttyp.

    Sprechen Sie uns an – wir helfen Ihnen, Qualität messbar und machbar zu gestalten.

    (Der Beitrag wurde von KI strukturiert und das Teaserbild von KI generiert)