ISO-Zertifizierungen gehören zum Alltag. Was ist hierunter zu verstehen? Sind sie wirklich relevant und nützlich? Um diese Fragen transparent zu beantworten, haben wir Alexander Patti, Compliance Officer bei Infomaniak, getroffen.
Was ist eine ISO-Norm?
Mit einer ISO-Norm können Standards vereinheitlicht werden. Sie ist ein Massstab, der Unternehmen ermöglicht, kontinuierliche Verbesserungen nach einem bestimmten Standard einzuleiten. Beispielsweise unterliegt die Höhe der Bahnsteige einer ISO-Norm, damit Menschen in allen Ländern problemlos in Züge einsteigen können.
Eine Norm ist wie ein Gesetz und verkörpert einen Text, auf den ein Unternehmen reagieren muss. Sind die Anforderungen gesetzlicher Natur, muss ein Unternehmen sie erfüllen. Geht es dagegen um Verbesserungen, hat das Unternehmen je nach seinem Standort die Ziele festzulegen, die es erreichen will. Folglich ist der Standard nicht für alle Unternehmen gleich; es ist das Unternehmen selbst, das seine eigenen Ziele und Massnahmen festlegt, die im verbindlichen Rahmen der ISO-Norm umzusetzen sind.
Je stärker ein Standard verbreitet ist, desto mehr ist er anerkannt. ISO (International Organization for Standardization) ist heute die weltweite Referenz. Als Bezugspunkt ist sie verbindlicher als eine private oder lokale Charta. Einige private oder öffentliche Stellen arbeiten praktisch nur mit ISO-zertifizierten Anbietern zusammen.
Was bringt eine ISO-Norm konkret für die Kunden?
Für den Kunden fungiert eine ISO-Zertifizierung als Indikator für die Anstrengungen eines Unternehmens, das sich in einem bestimmten Bereich verbessern möchte. So wird beispielsweise anhand von ISO 9001 festgestellt, wie diszipliniert und konsequent Qualität in einem Unternehmen behandelt wird. Konkretes Ergebnis für den Kunden sind intuitive Produkte, ein effizienter Support und die Gewissheit, jederzeit und sicher auf seine Daten zugreifen zu können.
Bei Infomaniak hilft uns der ISO-Rahmen, bestimmte Aspekte stets disziplinierter zu strukturieren und zu behandeln. Wir führen bestehende Prozesse auf, anhand deren Leistungsindikatoren erstellt werden. Unzulänglichkeiten können bedeuten, dass das Gesamtverfahren eines bestimmten Prozesses nicht ausreichend klar oder effizient ist, dass es nicht befolgt wird oder gar nicht besteht. In diesem Fall besteht Verbesserungsbedarf. So sind wir in der Lage, rasch und zielgerichtet einzugreifen.
Wozu eine ISO-Norm?
Ein Unternehmen kann sich aus verschiedenen Gründen zertifizieren lassen: um sich zu verbessern, einen Wettbewerbsvorteil zu erzielen oder einfach, um die Anforderungen bestimmter Branchen zu erfüllen. Bei Infomaniak ist dies Teil eines kontinuierlichen Verbesserungsprozesses, um Kunden in den anspruchsvollsten Branchen der Welt gerecht zu werden.
Bleibt die Frage, ob die Erfüllung einer ISO-Norm schwierig ist.
Das Zertifizierungsverfahren ist an sich kein schwieriger Prozess. In diesem Rahmen ist ein bestimmtes Dokumentationsvolumen zusammenzutragen, das entweder bereits besteht oder noch zu erstellen ist. Dies kann sechs Monate in Anspruch nehmen – je nach den Fortschritten des Unternehmens in dem von der Norm betroffenen Bereich.
Was beweist, dass die Anforderungen einer ISO-Norm erfüllt sind?
Zunächst sei klargestellt, dass sich mit einer ISO-Norm nicht alles regeln lässt. Mit Absichtserklärungen machen es sich einige Unternehmen allzu einfach. Erfreulicherweise steigt die entsprechende Sensitivität der Kunden (u.a. durch kritische Medien und soziale Netzwerke). Kunden lernen, Unternehmen nach ihrem tatsächlichen Handeln und nicht nur nach ihren Aussagen zu beurteilen.
Eine ISO-Norm erfordert mindestens jährliche Audits
Wie alle anderen ISO-zertifizierten Organisationen wird Infomaniak mindestens einmal jährlich in einem 3-Jahres-Zyklus überprüft:
- Jahr 1: Das so genannte vollständige «Zertifizierungsaudit» deckt alle Anforderungen der Norm ab. Im Falle von ISO 9001 wird zunächst in der gesamten Unternehmensdokumentation überprüft, ob das Qualitätssystem der Norm entspricht. Dazu gehören auch Gespräche mit Mitarbeitenden vor Ort.
- Jahre 2 und 3: In diesem Zeitraum finden Folgeaudits statt. Spätestens nach einem Jahr kommen die Prüfer wieder, um Nichtkonformitäten oder Verbesserungspotenzial zu ermitteln. Diese werden anschliessend der Unternehmensleitung mitgeteilt. In der Folge wird ein Aktionsplan entwickelt und umgesetzt.
- Zuteilung: Die Audits werden dem Entscheidungsgremium der zertifizierenden Stelle vorgelegt, die eine drei Jahre gültige Bescheinigung ausstellt, die durch fortlaufende Audits und ein Verlängerungsaudit neu bewertet wird.
Wie objektiv ist der Zertifizierungsprozess?
Infomaniak arbeitet mit der SGS (internationaler Warenprüfkonzern) oder der französischen Normungsorganisation Afnor (zuvor) zusammen. Diese Stellen sind von der Nichtregierungsorganisation ISO akkreditiert. Sie begleiten uns und müssen selbst ein genaues Pflichtenheft erfüllen.
Die Prüfer sind im Rahmen des von der SGS erteilten Auftrags zur Unabhängigkeit verpflichtet und
- erhalten von Infomaniak keine Vergütung.
- Ebenso sind sie nicht bei der SGS beschäftigt.
Folglich sind die Prüfer vollständig unabhängig. Das ist ein sehr wichtiger Aspekt.
Sind ISO-Normen Grossunternehmen vorbehalten?
Selbst eine kleine Struktur kann die Erlangung einer ISO-Zertifizierung anstreben. Was zählt, ist der verbindliche Rahmen der Norm, nicht die Unternehmensgrösse. In dieser Hinsicht kommen erneut die Fortschritte des Unternehmens in dem Bereich zum Tragen, den es zertifizieren möchte.
Die grösste Herausforderung besteht darin, eine präzise Dokumentation zu erstellen, die dem Unternehmen unmittelbar zugutekommt. Das Ganze ist mit mühsamer Kleinarbeit verbunden, wobei der Prozess jedoch bereits künftige Verbesserungen einleitet.
Heisst gleicher Standard auch immer gleiche Massnahmen? Wer legt die Ziele fest?
Nicht alle Unternehmen erfüllen die Anforderungen der Norm in gleicher Weise. Alle Zertifizierungsanwärter müssen diese Herausforderung bewältigen, gehen jedoch im Hinblick auf die Umsetzung der Ziele und der Aktionspläne ihren eigenen Weg.
So beziehen sich die Anforderungen in Zusammenhang mit ISO 9001 auf die Organisation, das Management und die Prozesse des Unternehmens. Der Vorteil dieser Norm besteht darin, dass sie keine Verpflichtung für bestimmte Handlungen mit sich bringt, sondern lediglich mit einem zu erreichenden Ergebnis verbunden ist. Demgemäss wählt das Unternehmen selbst die Mittel und Wege, um seinen eigenen Qualitätsaktionsplan umzusetzen.
Daher ist zwischen der Erfüllung der Anforderungen und den Zielen sowie den zugehörigen Aktionsplänen zu unterscheiden, die sehr spezifisch für jedes Unternehmen sind. In jedem Fall ist es der Prozess im Laufe der Zeit, der die Umsetzung konkreter Verbesserungen und einer entsprechenden Dokumentation ermöglicht.
ISO-Normen sind kein Allheilmittel
Ein Unternehmen benötigt Agilität und Flexibilität, um sich weiterzuentwickeln und effizient zu bleiben. Folglich sollte nicht unbedingt angestrebt werden, alle Verfahren zu formalisieren. Vielmehr geht es darum, einen entsprechenden Kompromiss zu finden.
Konkret ist eine Auswahl und Fokussierung der Verfahren erforderlich, die in der eigenen Branche die grösste Wirkung zeigen. Einige Unternehmen wie Infomaniak wollen ganz bestimmte Punkte verbessern (z.B. die Qualität der Übersetzungen von Schnittstellen). Hier kann der verbindliche Rahmen einer Norm helfen.