WANN IST SICHER WIRKLICH SICHER?

09.08.2016 Allgemeines

Welches Risiko ist für ein Unternehmen akzeptabel? Wie wirksam sind Sicherheitsmaßnahmen? Und wann ist ein Sicherheitsmanager revisionssicher unterwegs? Die Regeln der guten Unternehmensführung geben die Grundzüge eines Kontrollsystems wieder. Hinter dem englischen „Controlling“ (Steuerung) verbirgt sich weit mehr als nur die Wirksamkeitskontrolle von Maßnahmen. Die Autoren zeigen, wie der sichere Zustand eines Unternehmens – ob in der Industrie oder auch im Finanzsektor – messbar, nachverfolgbar und somit steuerbar gemacht werden kann.

Sicherheit ist für Unternehmen eine geschäftskritische Voraussetzung und deswegen ein „Business Enabler“. Wie jeder Geschäftsprozess sollte auch die Unternehmenssicherheit in einem Managementsystem abgebildet werden. Der Sicherheits-Verantwortliche erhält dadurch einen Überblick und kann auch große oder gar verteilte Personalstämme mit vielen Spezialaufgaben wirkungsvoll steuern – denn „managen“ heißt, das Ruder in der Hand und die Richtung vor Augen zu haben.

In einem integrierten Managementsystem ist Unternehmenssicherheit üblicherweise ein Unterstützungsprozess, der die eigentliche, auf den Kunden gerichtete Wertschöpfung erst ermöglicht. Bis dato ergeben sich die Anforderungen an ein ganzheitliches Unternehmenssicherheits-Managementsystem aus einer Vielzahl von Grundlagen wie der ISO 23001 Business Continuity Management oder der ISO 27001 Informationssicherheit. Insbesondere im Banken- und Versicherungssektor setzt die Regulatorik dezidierte Anforderungen beispielsweise an das Management operationeller Risiken. Im produzierenden Gewerbe resultieren viele Anforderungen aus dem Qualitätsmanagement nach ISO 9001.

Die Einführung eines Sicherheitsmanagementsystems erfolgt in Reifegraden und nimmt sehr ambitioniert etwa drei Jahre in Anspruch. Mit Fortschritt der Einführung steigt die Wirksamkeit des Steuerungssystems. Die Befähigung beginnt mit einem Managementbeschluss, ergänzt durch die Themenfelder Rahmenbedingungen und ihren Geltungsbereich, Rollen und Aufgaben der Beteiligten sowie die Ausstattung aller Beteiligten mit den nötigen Kompetenzen.

Gleichzeitig sollten im Vorgriff auf die Implementierungsphase die wichtigsten Standards ausformuliert und festgelegt werden. Danach folgt die eigentliche Implementierung mit Planung und Definition von Prozessabläufen und Festlegung der notwendigen Prozeduren. Die Etablierung kann als abgeschlossen angesehen werden, wenn die wesentlichen Prozeduren abgeschlossen und intern auf ordnungsgemäßen Ablauf geprüft wurden.

Ein entsprechend gestaltetes Berichtswesen rundet diese Phase ab! Schlussendlich erreicht das Sicherheitsmanagementsystem einen Status der kontinuierlichen Verbesserung. Je länger es eingeführt ist, desto stärker wird der Grenzertrag an Verbesserungspotenzial abnehmen.

Die entscheidende Merkmale des ganzheitlichen Managementsystems sind:

  • Rahmenwerk mit Sicherheitspolitik, Risikoinventar, Sicherheitsmodulen und die wichtigsten Standards als Voraussetzung zur Befähigung
  • Arbeitsanweisungen mit Risikobeurteilungsmethoden, Maßnahmen sowie Üben und Testen; weitere Dokumente mit internen Prozessabläufen und Beschreibungen zur Konkretisierung; dies als Basis für die Implementierung
  • Controlling-Prozesse mit Dokumentenorganisation, Kennzahlen, Reporting, Wirksamkeitsprüfung und Revision als Grundlage für den Etablierungsprozess
  • Wirksamkeitsprüfungsprozeduren als abrundendes Element im kontinuierlichen Verbesserungsprozess.

Das Unternehmen legt also in seiner Sicherheitspolitik seine Risikoakzeptanz fest. Kennzahlen geben sowohl Auskunft über Prozesse als auch über die Risikolandschaft. Managementsysteme sind Stand der Technik. Von ihnen geht wie von den mannigfaltigen regulatorischen Anforderungen das Erfordernis aus, Sicherheit strukturiert und messbar zu produzieren.

Über die Qualität der Prozessausführung kann mittelbar auf das Sicherheitsniveau des Unternehmens geschlossen werden. Voraussetzung ist jedoch immer der Sachverstand des Sicherheitsmanagers und seiner beteiligten Sicherheitsfachverantwortlichen, die diese Sicherheitspolitik gewissenhaft umsetzen können.

Über die Autoren: Ludger Remler (l.) ist Direktor der Abteilung Konzernsicherheit der Landesbank Baden-Württemberg und Mitglied im Vorstand des VSWBW. Dominic Gißler ist Trainee in der Konzernsicherheit der Landesbank Baden-Württemberg und Absolvent des Studiengangs „Security & Safety Engineering“ der Hochschule Furtwangen.

Zurück