Hier kommt der zweite Teil des Gespräches mit dem externen Auditor Josef Güntner (der erste Teil findet sich hier):
DIN ISO 9001 und agile Welten: passt das zusammen? Ich habe mit einem gesprochen, der schon einige agil „inspirierte“ Unternehmen auditiert hat. Seine Kunden kamen dabei aus dem DV-Bereich oder waren Konzerne, die gerade agiler werden.
Im 2.Teil  geht´s um vermeintliche Spannungsfelder wie „Verantwortung“, „Planung“, „Kontrolle“ und  wofür „leuchtende Augen“ im Audit ein Signal sein können…

Darf ich noch einmal vorstellen:

Josef Güntner

  • ist nach 2,5 Jahren als Client Manager & Lead Assessor der BSI Group Deutschland GmbH jetzt
  • Business Information Security Manager bei NTT Security Germany
  • und nach wie vor Auditor bei BSI.

Er kennt beide Seiten der Medaille. Für seinen neuen Arbeitgeber sitzt er für die Aufrechterhaltung der Informationssicherheit mit einem ISMS nach ISO 27001 auf der anderen Seite des Tisches und freut sich schon auf´s nächste Audit….

Josef Güntner hat im Mai 2018 u. a. Pickert & Partner in Pfinztal nach DIN ISO 9001 auditiert. Dieses Unternehmen stellt u.a. QM-Software her und ist dabei, sich agil neu zu erfinden und zu transformieren. Hier einige Highlights aus dem spannenden Interview.

1.   Verantwortung der Geschäftsführung + Selbstorganisation

SP: Ich hatte mir vor unserem Interview einige Spannungsfelder überlegt, die ich gern ansprechen möchte: Spannungsfelder zwischen der agilen Welt und dem, was wir aus Managementsystemen kennen.  

Verantwortung ManagementEine Weiterentwicklung der letzten Revision war, das Topmanagement noch konkreter in die Verantwortung zu nehmen. 

JG: Ja genau – endlich!!! Gott sei Dank.

SP:  Das ist konkret ausformuliert worden unter Kapitel 5: Die oberste Leitung muss eine ganze Menge Dinge sicherstellen und sich sichtbar und glaubwürdig engagieren. Für klassisch hierarchische Unternehmen stellt das eine echte Weiterentwicklung dar!

Aber für agile Organisationen, wo Führung und Verantwortung nicht hierarchisch verankert, sondern fach- und ergebnisbezogen in die Breite verteilt werden … Hier ist ein solcher Fokus vielleicht eher hinderlich? Ich denke da z.B. an Entscheidungen zur Strategie, die eher gemeinsam getroffen werden. 

JG: Ja gut, aber unterschreiben kann die Strategie nur das Topmanagement. Selbst, wenn sie bottom up abgestimmt ist. Wem es auf die Füße fällt, der muss unterschreiben – ist accountable. Der oder die muss allerdings nicht alles selbst machen. Das machen die responsables oder consultants.

Ich mache an dieser Stelle einen kleinen Schlenker. Die deutsche Sprache kann hier ein wenig für Verwirrung sorgen. Hier ist es fast nicht möglich zu differenzieren zwischen accountable und responsable. Es wird nur von Verantwortung gesprochen. Accountable ist der, der in letzter Instanz die Verantwortung trägt. Responsable ist der, der verantwortlich umsetzt. Ein Vorstand ist accountable. Ein Abteilungsleiter ist nur noch responsable für ein Sachgebiet.

SP:  OK.

JG: Die Begriffe stammen übrigens aus den RACI-Charts, von denen ich ein großer Freund bin (siehe Kasten).
Das Top-Management muss die Richtung angeben, Mittel verteilen und „die Watschen abholen“, wenn was schief geht.

SP: All das kenne ich aus dem rechtlichen Kontext der Delegationspflichten. Man kann Aufgabendurchführung delegieren, aber nicht die Verantwortung. Die bleibt da, wo sie hingehört – in der höchsten Instanz.
Für Umweltschutz und Arbeitssicherheit haben wir diese Rahmenbedingungen in den jeweiligen Gesetzen festgelegt. Hier ist immer die oberste Leitung angesprochen und sie steht auch für ein Organisationsverschulden gerade, falls etwas passiert.

JG: Und ist auch persönlich haftend…

SP: All das finde ich sehr spannend für Unternehmen, die sagen: wir wollen die Verantwortung besser verteilen. Wir wollen, das mehr Selbstorganisationen und Engagement passiert. Hier ist es besonders wichtig, deutlich zu machen: Wo ist die oberste Leitung wirklich verantwortlich und wo sind die Freiräume nach unten?

JG: Das scheint in Management-Kreisen nicht einfach zu verstehen zu sein. Hier gibt es immer noch viele, die meinen, sie müssten Mikro-Management machen und überall reinreden. Und sie fahren damit die Organisationen „sauer“…

SP: Der Geschäftsführer von Pickert & Partner Sven Rimmelspacher hatte hier ebenfalls zu lernen und er sagt auch: Das fällt ihm immer noch nicht leicht. Sich aus den Bereichen zurückzuziehen, wo er ganz viel Wissen und Erfahrungen hat. Das ist sicher kein einfacher Lernprozess und eine spannende Entwicklung in der Führung. Wenn man Verantwortung abgibt, muss man sich selbst auch an die Spielregeln halten lernen. Und dann im Zweifel auch einmal nichts sagen, wenn man nicht gefragt wird.

JG: Ja genau. Lernen, sich zurück zu nehmen.

2.   Kontrolle

SP: Ein weiteres mögliches Spannungsfeld ist das Thema Kontrolle.
Managementsysteme organisieren sehr viel Kontrollen und Überprüfungen.

Kontrolle


Man macht Vorgaben – basierend auf rechtlichen oder Kunden-Forderungen. Und dann gibt es die Führung in der Linie und die Stabs- und Fachkräfte, die kontrollieren sollen. Oft geht es dann um einen Abgleich zur Anweisung mit dem Ergebnis: „Lücke oder Fehler! – nicht konform!“

Wie kann so etwas in einem agilen Unternehmen gelebt werden, wo Führungskräfte dann ggf. auch eine ganz andere Rolle haben und die Teams sich selbst organisieren und auch kontrollieren?

JG: Ich sehe da keinen Widerspruch. Kontrolle – wenn ich sie im Kontext des Managementsystems betrachte:  Hier muss das Top Management für den jeweiligen Prozesse und auch das Managementsystem Vorgaben machen, also Ziele vorzugeben. In Verbindung mit den Zielen sind vernünftige Messgrößen zu definieren. Meistens macht es Sinn weniger zu messen als zu viel, dafür intelligenter. Diese Messgrößen sind regelmäßig vorzulegen. Das passt wunderbar zum agilen Arbeiten. Ich muss mich als Top-Manager oder Linienführungskraft in die Monitoring-Position begeben und darf nicht ins Mikro-Management fallen:
Beim Monitoring formuliere ich, was mir wichtig ist, was einzuhalten ist. Das sind meine Stellgrößen. Die definiere ich und überprüfe sie natürlich auch regelmäßig auf die Sinnhaftigkeit. Manche Messgröße macht zunächst einmal Sinn. Wenn ich aber später dreimal hintereinander 100% messe, schicke ich die Stellgröße besser in Rente und überlege mir etwas anderes. Das ist dann performance-integriertes Management.

Kontrolle

Iris Zerger (aus „Führung und Zusammenarbeit in Managementsystemen“Petersen 2017)

SP : Ich habe den Eindruck, Sie schauen sich das Ganze von weit oben an.
Ich dachte bei meiner Frage eher an die Beauftragten und Fachkräfte, die auch viel Zeit damit verbringen, im Unternehmen vor Ort zu schauen: was machen die Mitarbeiter und halten Sie sich an die Vorgaben. In Umweltschutz und Arbeitssicherheit ist es sehr verbreitet, dass auch die Fachkräfte durchgehen und die Mitarbeiter ansprechen, wenn etwas nicht nach den Regeln läuft. – So hat es auch der Gesetzgeber vorgesehen..
Das sind für mich Aspekte, wo ich denke, hier passen die zwei Welten nicht so richtig zusammen –  die klassische Hierarchie und agile Unternehmen?

JG: Auch Beauftragte können, wenn sie es intelligent machen, an Prozessen Kenngrößen definieren, um ihre Aufsichts- oder Kontroll-Pflichten zu tun.

Unter einem gewissen Maß Inaugenscheinnahme und Gucken wird es allerdings nicht gehen – gerade wenn ich an Umwelt- und Arbeitsschutz denke….

SP: Sie sprachen gerade von Inaugenscheinnahme und Gucken. Das muss ja nicht unbedingt der Beauftragte machen. Das könnte ggf. auch gegenseitig geschehen – als „unterstützende Erinnerungshilfe“.

Bei alledem ist nach meiner Erfahrung wichtig, wie ich das mache! Auf welche Art und Weise ..

Wenn ich zum einen erläuterte, das ist meine Aufgabe, hier bin ich Experte. Das schreibt mir das Gesetz vor als Fachkraft. Abgesehen davon nehme ich dich als Experte vor Ort ernst und wenn mir etwas auffällt, frage ich zunächst einmal: Welche guten Gründe hast du, das so zu tun und dabei bestimmte Regeln nicht einzuhalten?

JG:  Das ist auch ein Punkt. Es kann ja gut sein, dass dort ein Verbesserungspotential schlummert, also der Prozess, wie er definiert ist, ineffizient ist oder gar nicht funktioniert. Vielleicht, hat man vorher die Zusammenhänge und Wechselwirkungen im Umfeld nicht bedacht? Wenn dieses Wissen aus der Basis nicht nach oben dringt – jetzt sind wir wieder bei agiler Selbstorganisationen –: „Wir haben hier Verhandlungsbedarf, wir müssen etwas anpassen!“ Dann fehlen wichtige Lernanstöße!

3.   Planung

SP: Ein letztes Thema würde ich gerne noch ansprechen und zwar das Thema Planung. Aus meiner Sicht sind die Normen – auch weil sie best practice aus den konventionellen hierarchischen Unternehmen übernehmen, sehr wohlwollend Planungsprozessen gegenüber: Prozesse sollen geplant und standardisiert sein, sollen damit sicher beherrschbar sein. Und selbst Veränderungen sollen nach der letzten Revision geplant werden.

Wenn ich mir das durch die Brille eines jungen Menschen anschaue, der in einem agilen Unternehmen arbeitet, würde mich so eine Vorgabe erst einmal verunsichern…Schließlich geht es in agilen Unternehmen darum, flexibel zu sein, Vorgehen schnell anzupassen usw. Wie passt das aus ihrer Sicht zusammen?

JG: Die Normen sagen ja nicht, wer planen und wie geplant werden soll – auch von der Methodik her. Sie halten sich dazu vollständig zurück. Das heißt, ich brauche z.B. kein Drei-Seiten-Dokument dafür verfassen.

Planungsprozesse können auch „agil“ sein: Ich kann genauso eine agile Methode unter Einbindung der Mitarbeiter verwenden.  Das entspricht ebenso der Norm wie:  „Der Masterbrain macht die Tür zu und wenn der weiße Rauch aufsteigt, dann hat er die Idee“.

Da sehe ich keinen Widerspruch. Und ich kann als Auditor aus Sicht der Normen nicht sagen:
a. ist falsch und b. ist richtig oder anders herum.

SP: Also: Solange es hilft, ist es richtig?

JG: Ja, solange es hilft und solange es wiederholbar vergleichbare Ergebnisse zeigt. Solange also nicht gewürfelt wird, was als nächstes geschehen soll, sondern nachvollziehbar Vorüberlegungen da sind  – also eine Methodik.

4.   Theorie reicht nicht – agile Methoden muss man erlebt haben

SP: Was empfehlen Sie externen Auditoren, die in ein agiles Unternehmen gerufen werden?

JG: Ich hatte das Glück – wie ich schon erklärt habe – dass mir mein Sohn pragmatisch erklärt hat, was agil ist und wie Scrum funktioniert. Wenn ich das vorher nicht gewusst hätte, wäre ich fürchterlich auf die Nase gefallen.

Als Auditor sollte ich also agile Methoden kennen und auch den Ansatz, der dahintersteht. Mir muss klar sein, wie die Dynamik dahinter funktioniert. Nicht die Statik (Anm.: z.B. die Methodenbausteine und Zeitpläne), sondern die Dynamik, die entsteht und die Menschen und ihre Zusammenarbeit bewegt.

Man muss wirklich mal an so einem Board gestanden haben.  Mir kommt da gerade ein Bild in den Kopf. Das war auch ein Kunde. Dort ist das Scrum-Board eine Pinnwand auf dem Gang (Anm.: Das Scrum-Board gibt den aktuellen Arbeitsstand wieder). Und meine Frage war: Wie stellt ihr sicher, dass die Putzfrau nicht eure Zettelchen umhängt?

SP: Ah – die roten zu roten, die gelben zu den gelben… 😉

JG: Genau.

Da stand dann die Gruppe um mich herum und erzählt: „Wir stehen da jeden Morgen, machen da unsere Viertelstunde – unser Daily…“  – und ich konnte das Leuchten in den Augen der Mitarbeiter sehen…

Was ich da gesehen und gehört habe, das hatte Hand und Fuß. Da spielte die Putzfrau wirklich keine Rolle.
Um es auf den Punkt zu bringen: Es wäre sicher gut, wenn Auditoren vorher agile Methodik erlebt hätten – nicht nur die Theorie kennen … Da reicht schon ein Tages-Workshop aus. Also vielleicht: einen halben Tag erklärt man die Methode. Und dann macht man eine Gruppenübung und „spielt“ mal Scrum.

Und als Aufgabe könnte man z.B. nehmen: Optimierung eines Gartenfestes. Es muss ja keine hochtechnische Sache sein. Ich kann die Methode auf alles anwenden.

SP: Was ich hier jetzt heraushöre ist, dass Auditoren einfach einen Blick für neue Formen der Zusammenarbeit kriegen sollten. Einen Blick und auch ein Gefühl. Wenn Sie z.B. von leuchtenden Augen ansprechen, dann nehmen sie ja auch noch mal ganz andere Dinge wahr als das, was als gesprochenes Wort im Raum steht. Sie erfassen auch die Verfassung der Leute, die Ihnen da gegenüber stehen. Das Engagement, den Schwung, die Begeisterung. Das sind natürlich Aspekte, die sich nicht abfragen lassen…

JG: Stimmt! Ich versuche auch, nonverbale Informationen aufzunehmen im Audit. So kann ich erkennen, wie ernst es meinem Gegenüber ist mit dem, was er sagt. Deshalb bin ich auch kein großer Freund von Remote-Audits (Anm.: gemeint ist hier: Auditieren aus der Ferne – anhand von Tablets oder Laptops, WebCams, WLAN Hubs und Konferenztools).

Ich bekomme viel mit anhand der Körpersprache und daran, wie mir die Mitarbeitenden Dinge rüberbringen. Die ganze Situation macht deutlich: Steht er dahinter, was er da sagt oder ist das ein formales Herunterbeten von Dingen, die eingetrichtert wurden. Mir ist das Erste lieber: Nicht eingetrichtert sondern wirklich gelebt. Da ist ein Stückchen Herzblut mit drin.

SP: Ja, das geht mir ganz genauso –  verstehe ich gut! Ich spreche dann von „Theateraufführungen“, die einmal im Jahr für den Zertifizierer stattfinden – in manchen Unternehmen ……

OK Herr Güntner, ich danke Ihnen ganz, ganz herzlich für das Gespräch. Es war wirklich sehr spannend, Ihnen zuzuhören und das Ganze aus ihrer Sicht kennenzulernen.
Und vor allem auch zu sehen, es gibt Auditoren, die aufgeschlossen Neuland betreten und das offensichtlich auch erfolgreich …

Links & Verweise

Über den agilen Aufbruch von Pickert & Partner haben Sven Rimmelspacher und Christian Wißmann ein Buch geschrieben. Es erscheint Anfang Dezember 2018.

Bilder-Nachweis

alle Bilder von Pixabay (z.T. bearbeitet) bis auf

Gruppe am Scrum-Board: Quelle
CC BY-SA 4.0, https://vi.wikipedia.org[