Eine tägliche Erfahrung aus der TISAX®-Beratung: Was tun, wenn die Rezertifizierung ansteht und die Verantwortlichen des Erst-Audits nicht mehr da sind?
Früher oder später trifft es jedes Unternehmen im Umfeld der großen OEMs: Das nächste Audit steht vor der Tür.
Doch was tun, wenn der oder die Kolleg/in, der oder die die Erstzertifizierung betreut hatte, schon lange nicht mehr im Unternehmen arbeitet, und das Thema daraufhin nur noch stiefmütterlich behandelt wurde?
In Zeiten immer kürzerer Betriebszugehörigkeiten trifft das früher oder später jeden Betrieb. Auch uns als TISAX®-Beratung geht es da nicht anders. Die Kollegin, die sich unserer eigenen TISAX®-Zertifizierung 2020 angenommen hatte, hat die TSX-Partners leider vor einem Jahr verlassen. Mit ihr als Hüterin aller internen Vorgänge ging leider auch wertvolles Wissen über unsere eigenen Prozesse. Was bleibt, sind zahlreiche Dateien in einem geduldigen Sharepoint-Verzeichnis.
Dazu kommt, dass der neue VDA/ISA Katalog 5.1 recht umfassend überarbeitet wurde. Einige Themen spielen keine Rolle mehr und andere Anforderungen sind inzwischen neu hinzugekommen.
Natürlich haben wir gegenüber anderen Unternehmen den Vorteil, hinsichtlich der geforderten Anforderungen auf dem neuesten Stand und bei der Bearbeitung von TISAX®-Audits routiniert zu sein. Dennoch muss man sich bei der Rezertifizierung erstmal durch eine unbekannte Ordnerstruktur quälen und alte Dateien durchforsten, um sich überhaupt ein Bild der Lage machen zu können. Was also tun? Und wann damit anfangen?
Das Kick-off
Eine gute und gleichzeitig auch schlechte Nachricht: Das neue TISAX®-Audit ist ein Komplett-Audit. Das heißt, der VDA/ISA-Katalog wird, wie schon vor drei Jahren, erneut komplett durchgeprüft. Die Ergebnisse des letzten Audits spielen dabei keine Rolle. Sie müssen also komplett von vorne beginnen. Es ist darüber hinaus zu erwarten, dass der Auditor bei der erneuten TISAX®-Zertifizierung höhere Maßstäbe ansetzen wird als beim ersten Audit vor drei Jahren, denn Ihr Unternehmen verfügt ja bereits über ein idealerweise gut eingespieltes Informationssicherheitsmanagementsystem. Entsprechend hoch sind die Erwartungen.
Es gilt also keine Zeit zu verlieren. Stellen Sie ein Team zusammen und setzen Sie den Startschuss für die Dokumentation!
Verteilen Sie die Verantwortung und damit auch die Expertise auf mindestens zwei Personen. Fällt eine aus, haben Sie immer noch ein Backup – sowohl für die Vorbereitung des Audits als auch als Ansprechpartner:in für den Auditor während des Prüfungsprozesses selbst.
Befindet sich noch ein/e Verantwortliche/r des letzten TISAX®-Audits in Ihrem Unternehmen, dann umgeben Sie sie oder ihn mit einem kleinen Team. – Stichwort Risikostreuung.
Verlieren Sie keine Zeit
Lassen Sie nicht unnötig Zeit verstreichen. Mindestens 12 Monate vor dem nächsten Audit sollte man sich im Unternehmen erneut fokussiert mit der Thematik auseinandersetzen. Vor allem, wenn neue Mitarbeitende sich neben dem regulären Tagesgeschäft ganz neu in das Thema und Ihre internen Prozesse einarbeiten müssen. Lassen Sie Sich mit dem Kick-off mehr Zeit, wird es schwieriger. Das Projektteam hat dann deutlich mehr Stress und Druck, alle Prüfkriterien und Prozesse noch rechtzeitig abzuarbeiten.
Projektmanagement-Tools
Kommunizieren Sie ganz klar die Verantwortlichkeiten und die Deadline – Aber lassen Sie Ihre Mitarbeiter:innen danach nicht einfach mit dem Standard-Office-Paket im Regen stehen. Rüsten Sie Ihr Team mit den richtigen Projektmanagementtools , falls Sie diese nicht sowieso schon verwenden. Für welche Tools Sie sich konkret entscheiden, hängt ganz von Ihren Bedürfnissen ab. Sie sollten aber zumindest über ein Kommunikations-Tool wie MS-Teams oder Slack verfügen und über eine Arbeitsoberfläche, auf denen Projekte angelegt und einzeln abgearbeitet werden können. Hier bieten sich Trello oder Airtable an. Wer in der Gestaltung gerne etwas freier ist, kann zum Beispiel auch gut mit Confluence oder MS OneNote arbeiten.
Externe Ansprechpartner und Prüfdienstleister
Dass sich Ihr Projektteam alleine durch den neuen VDA/ ISA-Katalog wühlt und dafür viel kostbare Zeit verbrennt, muss nicht sein. Unterstützen Sie Ihr Team durch einen externen Ansprechpartner, an den sich Ihre Mitarbeiter wenden können, wenn sie nicht mehr weiterwissen. Diese TISAX®-Beratung gibt Ihrem Team eine grobe Struktur und Etappenziele bzw. Milestones im Rahmen des Projektmanagements vor, hilft bei Prozessanalysen, kennt sich mit aktuellen Richtlinien aus und hilft bei der Suche nach einem Prüfdienstleister.
Hatten Sie bei der ersten TISAX®-Zertifizierung bereits eine externe TISAX®-Beratung und waren mit ihr zufrieden, dann wenden Sie sich am besten wieder an diese. Ansonsten gibt es zahlreiche Anbieter, aus denen Sie wählen können. Unser Tipp: Neben der fachlichen Kompetenz sollte auch die menschliche Komponente eine Rolle spielen.
Grundsätzlich müssen Sie die Rezertifizierung so handhaben, als wäre TISAX® ein völlig neues Thema für Ihr Unternehmen. Wurde Ihr Informationssicherheitsmanagementsystems zumindest rudimentär gepflegt, so macht das einiges einfacher. In zeitlicher Hinsicht bleibt der Aufwand aber dennoch groß. Lassen Sie also nicht unnötig Zeit verstreichen, sondern gehen Sie das Thema an.
Wenn Sie sich auch für das Thema Tisax-Beratung® interessieren, lesen Sie hier mehr und verschaffen Sie sich von TSX Partners einen Eindruck!
Disclaimer:
TISAX® ist eine eingetragene Marke der ENX Association.
Zwischen TSX Partners powered by CNX Consulting Partners und der ENX Association besteht hinsichtlich der vorstehend beschriebenen Beratungsleistungen keine geschäftliche Beziehung. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.