(Endlich) in der Infor­ mationsgesellschaft angekommen?

Hat die ISO 9001 mit der grossen Revision vom September 2015 nun endlich zum Sprung in die Informationsgesellschaft angesetzt, oder ist sie gar dort angekommen? Ein Blick auf die diesbezüglichen Änderungen gegenüber der Vorgängerversion offenbart, dass sich tatsäch-lich viel getan hat. Da ist zunächst einmal die neue High Level Structure (HLS), inzwischen auch «Grundstruktur» genannt. Sie hat, neben einem komplett neuen Aufbau, auch neue An-forderungen teils in Form neuer Kapitel in die ISO 9001 eingebracht, darunter auch zum Thema «Wissen der Organisation».

Die HLS ist allerdings nicht gänzlich neu. Sie kam bereits im Jahr 2013 u. a. in der ISO/IEC 27001 zur Anwendung. Diese Norm wird als geeignete Grundlage für ein wirkungsvolles Informationssicherheits-Managementsystem (ISMS) genutzt. Diese Anforderung trifft abso-lut jede Organisation, die ihre Daten, ihre (do-kumentierten) Informationen, also ihr Wissen und das ihrer Kunden sichern möchte und auch unbedingt sollte.

Durch alle Kapitel zieht sich nun wie ein roter Faden ein risikobasierter Ansatz, al-lerdings ohne einen eigenen Risikomanage-mentprozess zu fordern. In gewisser Weise damit verbunden, aus der Sicht der Norm so-gar eng verknüpft, ist die allgegenwärtige An-forderung, «Chancen» für die Organisation zu ermitteln. Die man, um dieser elementaren Sache ein wenig den Ruch von Lotterie zu nehmen, dem englischen Originaltext ge-mäss besser mit «Möglichkeiten» (opportuni-ties) übersetzt hätte.

Die neue Norm gibt ihren Anwendern letztendlich deutlich höhere Freiheitsgrade bei der Umsetzung vieler Anforderungen – die Revision als Chance! Zum Beispiel auch bei der Frage, wie mit den Anforderungen in Bezug auf das Wissen der Organisation und der damit verknüpften Dokumentation von Information umzugehen ist.

Wissen der Organisation – eine zentrale Ressource
In Kapitel 7.6.1 hält die neue Norm in der An-merkung I fest, was ihr zufolge unter «Wissen der Organisation» zu verstehen ist: «Das Wis-sen der Organisation ist das Wissen, das orga-nisationsspezifisch ist; es wird im Allgemei-nen durch Erfahrung erlangt. Es sind Infor-mationen, die im Hinblick auf das Erreichen der Ziele der Organisation angewendet und ausgetauscht werden.» Das Kapitel zum Um-gang mit dem Wissen der Organisation ist komplett neu in der ISO 9001. Die diesbezüg-lichen Anforderungen sollen sowohl dem Verlust von Wissen vorbeugen (was z. B. durch Personal-Fluktuation oder durch Feh-ler beim Wissenstransfer passieren kann) als auch zum Erwerb von Wissen motivieren (z. B. über Erfahrung, Austausch, Beratung oder Benchmarking). Es wird jedoch in kei-ner Weise ein systematisches und struktu-riertes Wissensmanagement gefordert. Das Wissen der Organisation ist auf jeden Fall eine zentrale Ressource, unabhängig davon, ob es durch einen eigenen Prozess gemanagt wird oder nicht!

Was ist überhaupt eine Information?
Was zunächst wie eine scheinbar wahllose Ansammlung einzelner Daten aussieht, wird zu einer Information, wenn diesen Daten z. B. durch eine bestimmte Anordnung, einen Zu-satz oder die Einbindung in einen Kontext eine bestimmte Bedeutung zukommt. Die daraus entstandene Information trägt dann im besten Fall sinnvolles Wissen über Sachen, Sachverhalte oder Menschen. Sie kann für eine Organisation einen unschätzbaren Wert darstellen – allerdings nur dann, wenn es ihr Inhalt tatsächlich hergibt, für die Organisati-on nutzbar ist! So gesehen sind Informatio-nen Daten von Wert – über den Wert ent-scheidet die Organisation. Die Verfügbarkeit von Informationen, ihre Integrität und Ver-traulichkeit muss gewährleistet sein, unab-hängig davon, wozu diese Informationen im Einzelnen dienen mögen. Substanziell ist da-bei vor allem auch die Sicherheit von Infor-mationen. Und noch nie war die Anforderung nach Sicherheitsstandards für die Übertra-gung und Speicherung von Daten und Infor-mationen so hoch wie in der heutigen Infor-mationsgesellschaft.

Welches Wissen hat nun die Relevanz, als dokumentierte Information eingeordnet zu werden? Die Norm sagt dazu sinngemäss, dass das Qualitätsmanagementsystem genau die dokumentierte Information enthalten muss, die von der Organisation als für dieses System notwendig für seine Wirksamkeit be-stimmt wurde. Und zwar in Abhängigkeit von der konkreten Situation, die eine Organi-sation kennzeichnet: welcher Branche sie an-gehört, wie gross sie ist, welche interessierten Parteien welche Erwartungen haben, wie komplex ihre Prozesse gestaltet sind, wie aus-geprägt die Kompetenz ihrer Mitarbeiter ist etc. Die neue Norm fokussiert also stark auf den Wert einer Information (Grafik 1).

Dokumentierte Information – Wissen plus Kompetenz plus Bewusstsein
Was steckt hinter dem neuen Begriff? Ein charmanter Ansatz bringt die Idee unter Ein-beziehung der Titel von vier Normkapiteln knappestmöglich auf den Punkt: Wissen + Kompetenz + Bewusstsein = dokumentierte Information. «Information» als isolierter Be-griff enthält hingegen keine Anforderung, dass diese Information zu dokumentieren ist. In solchen Situationen liegt die Entscheidung bei der Organisation, ob es notwendig oder ange-messen ist, eine dokumentierte Information aufrechtzuerhalten. Dies wiederum ist in Ab-hängigkeit zu setzen mit dem Wert, den diese Information für die Organisation darstellt!

In Kapitel 7.5 lassen sich die Freiheitsgra-de, die die neue Norm gewährt, exemplarisch darstellen. In der 2008er-Version der ISO 9001 werden ausgehend von Kapitel 4.2.1 beispiels-weise noch mindestens sechs «dokumentierte Verfahren» gefordert und – klassisch – das Füh-ren eines QM-Handbuches. Beide Anforderun-gen sind mit der Revision weggefallen. Gleich-zeitig ist die Dokumentationspflicht über viele Kapitel hinweg erhalten geblieben.

Geändert haben sich dabei aber sowohl die Sicht auf das Thema als auch die Begriff-lichkeit. Was einst Verfahren, Dokumente und Aufzeichnungen waren, wird jetzt in «dokumentierte Information» zusammenge-führt. Der Begriff wird dabei für alle geforder-ten Dokumente und Nachweise in der Norm verwendet. Es muss gemäss Anhang von ISO 9001:2015 nicht zwingend die Struktur und Terminologie der Norm in der Organisation verwendet werden. Es soll vielmehr die Be-nennung gewählt werden, die am besten für die Organisation geeignet ist.

Mit dem Papier alte Anforderungen über Bord werfen
Eine grosse Chance schlummert in dem Um-stand, dass die Norm nun stärker die Mög-lichkeiten moderner Kommunikationstech-nik adaptiert und mehr auf unternehmens-spezifische Belange fokussiert. Jede Organisa-tion bestimmt selbst, welche Informationen für das Qualitätsmanagement und das Errei-chen der Organisationsziele bedeutend sind und welche nicht. Die Organisation wählt auch frei die Art, den Umfang und den Ort der Dokumentation ihrer Information, also auch der Speicherung der jeweiligen Daten, nach eigenem Ermessen und Erfordernissen. Dies alles birgt vor allem auch die Möglich-keit, das Thema Dokumentation aus einer neuen Perspektive zu betrachten. Für Organi-sationen kann die neue Norm durchaus der Anstoss dazu sein, mit dem Papier aufzuräu-men, das noch die Anforderungen an Len-kung und Dokumentation aus dem letzten Jahrtausend mit sich schleppt.

All das heisst aber nicht, dass eine Orga-nisation nun kein QM-Handbuch mehr füh-ren «darf». Die Dokumentation von Informa-tion in einem klassischen QM-Handbuch kann aus diversen Gründen, z. B. zur einfa-chen Weitergabe an externe Interessenten, sinnvoll sein. Bestehen diese Gründe jedoch nicht – und das kann in der heutigen Ge-schäftswelt der Fall sein –, stellt sich durchaus die Frage, ob damit nicht die eine oder andere Chance liegenbleibt, die die Anwendung mo-derner Software z. B. in mobiler Hardware zu bieten hat; so kann zur Speicherung durchaus ein Smartphone oder ein anderer Datenträ-ger zum Einsatz kommen, was die Verfügbar-keit und Flexibilität je nach Situation enorm erhöht. Die dokumentierte Information kann dabei eine Tonaufnahme oder ein Video sein und nicht nur das klassische Papier. Eine mögliche Einschränkung: Mit zunehmen-dem Grad der Verfügbarkeit nimmt die Si-cherheit der dokumentierten Information ab– aber nur dann, wenn keine angemessenen Massnahmen zu ihrer Sicherung getroffen werden.

Umgang mit dokumentierter Information
Kapitel 7.5.2 formuliert die Anforderungen an die Erstellung, Aufrechterhaltung und Ak-tualisierung dokumentierter Information. Dabei müssen mindestens drei Aspekte be-rücksichtigt werden, wobei die Norm Wert auf Angemessenheit und Eignung legt (teil-weise Überschneidung mit der Lenkung von dokumentierter Information, siehe dort):

• Kennzeichnung und Beschreibung → schnelle Auffindbarkeit der dokumentierten Information und deren sichere Zuordnung;
• Speicherung: Format und Medium → Ver- meidung von Medienbrüchen, unterschied- lichen Versionen (Versionskontrolle), Red- undanzen, Rücklesen nach Speicherung, Erhaltung der Lesbarkeit;
• Überprüfung und Genehmigung → Ver- meidung von Überregulierung. Das starre Prinzip «Ersteller–Bearbeiter–Prüfer–Frei- geber» ist nicht immer angemessen. Somit könnte es auch möglich und sinnvoll sein, die Freigabe durch den Ersteller vorneh- men zu lassen, z. B. bei den sehr häufig an- zutreffenden, einfachen Arbeitsanweisun- gen in nichtsensiblen Bereichen.

Wird von der Norm die Aufrechterhaltung einer Information gefordert, muss diese bei Bedarf aktualisiert werden und jederzeit ver-fügbar sein; dabei ist nicht auszuschliessen, dass die Aufbewahrung älterer Versionen notwendig ist, ggf. um einen früheren Status zu belegen. In der 2008er-Version der ISO 9001 waren das Dokumente mit Vorgabecha-rakter. Wird lediglich eine Aufbewahrung ge-fordert, beispielsweise als Nachweis für die Kompetenz von Mitarbeitern, muss die Infor-mation gespeichert und verfügbar sein, was früher als Dokument mit Nachweischarakter bezeichnet wurde. Der Begriff «Aufbewah-rungsfrist» wird von der Norm nicht mehr verwendet. Wie lange welche dokumentierte Information aufbewahrt wird (soll oder muss), legt die Organisation in Abhängigkeit vom Inhalt der dokumentierten Information selbst fest, am besten unter Hinzuziehung eines Rechtsexperten (Grafik 2).

Lenkung dokumentierter Information
Kapitel 7.5.3 enthält Anforderungen zur Len-kung dokumentierter Information. Ihre Len-kung ist notwendig, um sie verfügbar zu ma-chen. Auf den ersten Blick hat sich gegenüber der 2008er-Version (Kapitel 4.2.3 / 4.2.4) eher wenig geändert. Mit der Anwendung moder-ner Kommunikationsmittel zur Lenkung der dokumentierten Information ergeben sich allerdings gänzlich neue Aspekte. Mögliche Fragen lauten: Welche dokumentierte Infor-mation soll auf welcher Kommunikations-ebene mit welchem Kommunikationsmittel gelenkt und wie und wo gespeichert werden? Wie steht es dabei um die Verfügbarkeit am Ort und zur Zeit des Bedarfs, um die Integri-tät (Unverfälschtheit), die Vertraulichkeit und die Sicherheit der gelenkten dokumen-tierten Information (interner wie der als sol-cher gekennzeichneten externer)?

Dokumentierte Information wirksam schützen
Spätestens an dieser Stelle kommt die oben be-reits erwähnte Informationssicherheit (Norm ISO/IEC 27001:2013) wieder ins Spiel. Die ISO 9001:2015 fordert zwar die Verfügbarkeit, In-tegrität und Vertraulichkeit von dokumentier-ter Information, wie überhaupt den Schutz vor unbefugtem Zugriff etc., bietet Organisatio-nen aber nicht die Management-Tools und technischen wie organisatorischen Verfahren, die dafür gebraucht werden – oder sie verlangt jenen deren Einsatz nicht ausdrücklich ab.

Das nötige Vertrauen in die Sicherheit von Daten resp. dokumentierter Information ist dabei besonders im Hinblick auf die Er-wartungen der interessierten Parteien einer Organisation von Bedeutung. Die ISO/IEC 27001 legt hier als Basis einen Risikomanage-mentprozess zugrunde, der sich durch die ge-samte Organisationsstruktur zieht und be-reits bei der Konzeption von Prozessen und Systemen ansetzt. Vor allem wenn moderne Kommunikationsmedien wie E-Mail, Social Media oder Cloud-Lösungen etc. die Grund-lage für dokumentierte Information darstel-len (was in manchen Branchen inzwischen zum Standard zählt), ist ein solches Vorgehen erste Wahl.

Dazu gehört vor allem auch der Aspekt «Bewusstsein bei Mitarbeitern und Mitarbei-terinnen». Jede technische oder organisatori-sche Lösung kann noch so gut sein: Ist dem Menschen die mögliche Konsequenz (das Ri-siko) seines Handels nicht bewusst, handelt er mit hoher Wahrscheinlichkeit nicht richtig im Sinne des Schutzes. Ein weiterer wichtiger Punkt ist, dass, wie bereits weiter oben er-wähnt, die Norm auch nach der HLS aufge-baut ist – die beiden Normen ergänzen sich dadurch perfekt in einem Managementsys-tem!

Werthaltigkeit von Informationen steht im Vordergrund
Zusammenfassend kann gesagt werden, dass ISO 9001:2015 die Werthaltigkeit einer Infor-mation für das Managementsystem bzw. die Organisation bei der Entscheidung über ihre Dokumentation in den Vordergrund stellt. Wie aus der Anmerkung in Kapitel 7.5.1 her-vorgeht, richtet sich auch die Bestimmung des nötigen Umfangs danach. Ein weiterer wichtiger Aspekt steckt in dem Begriff «Ange-messenheit». Information ist ein bedeutender (Organisations-)Wert; die Informationsge-sellschaft liefert uns täglich Unmengen an Daten – aber keineswegs alle sind wertvoll – genau hier greift das Prinzip der Angemes-senheit.

Was vom Umfang und inhaltlich als an-gemessen zu gelten hat, bestimmt die Orga-nisation selbst, orientiert sich dabei aber an diversen Faktoren. So hängt z. B. der Umfang der Dokumentation von der Kompetenz des eingesetzten Personals ab. Weitere Faktoren sind:

• Strategie und Ziele der Organisation
• Geltungsbereich des Managementsystems
• relevante Erwartungen der interessierten Parteien
• benötigte/notwendige Prozesse und deren Komplexität
• Risiken und Chancen hinsichtlich benötig- ter Prozesse
• eingesetzte Technik
• Produkt-/Dienstleistungsangebot
• Risiken und Chancen hinsichtlich der Produkte/Dienstleistungen
• Compliance-Anforderungen

Die Anforderung an dokumentierte Information – eine Chance
Fest steht, dass der höhere Freiheitsgrad mehr Möglichkeiten bietet, unternehmens-spezifische Belange zu berücksichtigen und Überregulierungen zu vermeiden oder abzu-bauen. Das bedeutet gleichzeitig eine höhere Akzeptanz bei der eigentlichen Zielgruppe der dokumentierten Information – und das sind gewiss nicht die Auditoren! Unterneh-men haben die Aufgabe, selbst zu entschei-den, welche Information für das Manage-mentsystem relevant ist und in welchem Umfang und auf welchem Datenträger sie ge-speichert werden soll. Und sie müssen dafür sorgen, dass die Ressource «Wissen der Orga-nisation» geschützt wird.

Die Chancen, die sich aus der angemes-senen Umsetzung der neuen Anforderungen ergeben, sind der eigentliche Gewinn aus der Revision. Insofern kann die eingangs gestell-te Frage, ob die ISO 9001 in ihrer neuen Versi-on nun (endlich) in der Informationsgesell-schaft angekommen ist, nur mit einem kla-ren Ja! beantwortet werden. Und das Schöne ist: Eine Übertragung der ISO 9001-Themen zur dokumentierten Information ist – wenn es das zugrundeliegende Regelwerk zulässt – auch auf jedes andere Managementsystem
möglich.