DIN ISO 9001 und agile Welten: passt das zusammen? Ich habe mit einem gesprochen, der schon einige agil „inspirierte“ Unternehmen auditiert hat. Seine Kunden kamen dabei aus dem DV-Bereich oder waren Konzerne, die gerade agiler werden. Darf ich vorstellen:

Josef Güntner

  • ist nach 2,5 Jahren als Client Manager & Lead Assessor der BSI Group Deutschland GmbH jetzt
  • Business Information Security Manager bei NTT Security Germany
  • und nach wie vor Auditor bei BSI.

Er kennt beide Seiten der Medaille. Für seinen neuen Arbeitgeber sitzt er für die Aufrechterhaltung der Informationssicherheit mit einem ISMS nach ISO 27001 auf der anderen Seite des Tisches und freut sich schon auf´s nächste Audit….

Josef Güntner hat im Mai 2018 u. a. Pickert & Partner in Pfinztal nach DIN ISO 9001 auditiert. Dieses Unternehmen stellt u.a. QM-Software her und ist dabei, sich agil neu zu erfinden und zu transformieren. Hier einige Highlights aus dem spannenden Interview.

1. Normen als Agilitätshindernis?
Welchen Stellenwert haben eigentlich die Normen? (hier 9001)

SP: Wo hatten Sie Ihre ersten Kontakte zu „agil“ bzw. agilen Methoden – abgesehen von Pickert & Partner?

JG: Ich bin Informatiker und schon etwas älter. Als mir mein mittlerer Sohn erzählte, er sei jetzt Scrum Master, haben wir uns intensiv darüber ausgetauscht. Er hat mir in einem Crash-Kurs genau erklärt, wie Scrum funktioniert. Und wenn ich später in Zertifizierungen auf Scrum oder agil gestoßen bin, habe ich von meinen Auditees gelernt. Ich würde jetzt nicht behaupten, dass ich agile Methoden implementieren könnte. Anwenden ja, soweit habe ich es verstanden. In jedem Fall habe ich die Effizienz der Methoden in einigen Audits zu schätzen gelernt – in unterschiedlichsten Anwendungsbereichen.

SP: Das ist interessant – und wo genau?

JG: Sehr oft im Bereich Software-Entwicklungen. Da kommt es ja her. Aber inzwischen auch zweimal im Bereich der Organisationsentwicklung.

SP: Ich habe in der Vergangenheit immer mal wieder erlebt, dass Unternehmen “ganz eigene“ Managementsysteme aufbauen wollten, ohne sich zertifizieren zu lassen. Sie sahen die Anforderungen der ISO Standards als bevormundendes Zwangs-Korsett, dem sie sich nicht unterwerfen wollten. Gerade Unternehmen, die agil unterwegs sind, legen großen Wert auf Selbstorganisation und Gestaltungsfreiheit für eigene Lösungen. Wie passen vermeintlich bevormundende Normforderungen aus Ihrer Sicht dazu?

 JG: Normen sind accepted good practice, die über die Veröffentlichung geteilt werden. Jedes Unternehmen kann diese guten Erfahrungen übernehmen, um damit selbst Erfolg zu haben. Wenn man sich anschaut, wer in den Normungs-Gremien sitzt –  dann sind das diejenigen, die sie auch anwenden sollen. Ein Unternehmen kann auf der Basis der Normen gut starten und sich weiterentwickeln, auch ohne über Zertifizierung nachzudenken.

Für mich als Auditor ist die Referenz der Standard. Da gibt es ein paar „Must-haves“ in jedem Standard. Das ist weniger geworden in der Zwischenzeit. Und dann ist es am Kunden, selbst zu entscheiden, was er noch braucht. In jedem Fall sind die Normen mit der high level structure auch schlanker geworden![/vc_column_text][vc_column_text]

2.    Schlanke Normen bieten Freiraum  – Beispiel: Dokumentation

JG: Ein Aspekt, der neu ist: das Thema „Angemessenheit“. Es gibt im Kapital 7 eine Fußnote zum Umfang dokumentierter Information, die schnell übersehen wird (siehe Kasten).

Ich kann als Auditor NICHT final beurteilen, was das Unternehmen wirklich braucht an Menge bzw. Umfang der dokumentierten Informationen. Deshalb kann ich dem Unternehmen keine Vorschriften machen – es muss selbst entscheiden. Ich schau lediglich genau hin und versuche, zu verstehen.

Beispiel: Ich auditiere ein 10000 Mann Unternehmen habe und finde nur ein Blatt als dokumentierte Information vor. Dann würde ich schon fragen: Reicht das denn? Aber hier ist der Graubereich sehr, sehr groß.
Wenn ich mir die Prozesse anschaue und die funktionieren gemäß der Norm – auch mit dem einen Blatt. Was soll ich da machen?

Ganz ehrlich: Da muss man als Auditor  –  und einige Kollegen sehen das sicher anders – sehr vorsichtig sein und sich nicht zu weit aus dem Fenster lehnen. Das  ist eine „lesson learned“, die ich mitgenommen habe für mich aus dem Feld.

SP: Was genau meinen Sie mit „aus dem Fenster lehnen“?

JG: Soll heißen: Forderungen aufstellen, die ich nicht sauber aus der Norm ableiten kann.[/vc_column_text][vc_column_text]

3.   Was am „agilen Auditor“ geschätzt wird: Lernen wollen

SP:  Sie haben grad gesagt: Sie würden sich nicht zu weit hinauslehnen. Sie würden genau hinschauen, wie das Unternehmen es macht und können auch letztlich nicht beurteilen, was es braucht…
Ich glaube, genau diese Haltung ist im Audit bei Pickert & Partner angekommen…. Ich habe dort nachgefragt, was an dem Audit positiv aufgefallen ist.

Die Antwort von Sven Rimmelspacher, dem Geschäftsführer von Pickert & Partner war: Sie seien wirklich interessiert daran gewesen, wie genau das Unternehmen bestimmte Dinge macht. Welche Eigenarten, welche Prozesse und Gepflogenheiten es hat. Welche Lösungen es entwickelt hat, Probleme in den Griff zu kriegen. Sie hätten immer sehr aufmerksam zugehört und gern Respekt und Wertschätzung gezeigt, wenn Sie beeindruckt waren.

Ich denke, das könnte auch eine „lesson learned“ sein. Da haben Sie offensichtlich den richtigen Ton getroffen…

JG: Ich gehe eigentlich in das Audit mit einer ganz egoistischen Haltung: Ich will auch etwas lernen! Ich sitze da Leuten gegenüber, die etwas machen, was ich im Groben nachvollziehen kann. Aber wie sie es im Detail tun, ist jedes Mal neu für mich. Da lerne ich immer dazu.

Ich kann dann natürlich sagen: „Ich hab das woanders schon ein bisschen anders gesehen. Denkt mal drüber nach: Vielleicht wäre das eine Idee zur Verbesserung – eine opportunity for improvement?“ Aber ich kann nicht sagen: „Schmeißt das alles weg. Ich erklär euch jetzt die Welt, wie ich es machen würde.“  Das steht mir als Auditor nicht zu.

SP: Und wenn Sie so eine opportunity formulieren und das Unternehmen macht sich darüber Gedanken, hat dann aber gute Gründe, es doch anders zu machen. Wäre das für Sie akzeptabel?

JG: Gemäß des Kapitels 10.2 der Norm „continual improvement“ muss ein Verbesserungspotential bewertet werden. Hier muss der entsprechend Verantwortliche – i.d.R. die oberste Leitung/das Top-Management entscheiden: „links rum oder rechts rum“ – z.B. im Managementreview.

Wenn ich aber sehe, dass vorgeschlagene Verbesserungen ignoriert werden, dann bin ich wieder bei einem formalen Aspekt, nämlich dass das Managementsysteme nicht so ganz funktioniert.

4.    PDCA ist „voll agil“

JG: Nochmal zurück zur Frage: Agil und Managementsysteme: Wie passt das zusammen?

Eine Idee, die hinter den Normen stehen: der PDCA-Zyklus oder continual improvement cycle. Das heißt, wenn ich in der Organisation Prozesse agil manage, dann mache ich ja nichts anderes, als der PDCA-Zyklus sagt.

SP: Genau, und im agilen Projektmanagement (Scrum) nennt sich das dann iterativ: Verbessern und Lernen in kurzen Zyklen…

JG: Eben – im Scrum findet das im Sprint statt. Ich definiere erreichbare Ziele, mache meinen Sprint (Anm.: zeitlich festgelegter Arbeits-Rhythmus, nach dem sich das Team wieder zusammenfindet). Dann schau ich, wo ich bin und justiere bei Bedarf nach.

5.  

5. Der Kunde bestimmt, wo es lang geht

JG: Ein weiterer Aspekt, der „passt“: Welche task (Anm.: Arbeitspaket) in einem Sprint entwickelt wird, entscheidet ja nicht der Entwickler, sondern der Auftraggeber.

SP: Und der Auftraggeber wird im Scrum vertreten durch den Product Owner, der die Kundensicht vertritt. Damit haben wir dann die Kundennähe, die ja eine Grundsatzanforderung im QM ist.

JG: Genau. Und ob ich die jetzt anwende auf ein Produkt bzw. eine Produktentwicklung, einen Service oder sogar eine Organisationsentwicklung, bei der sie im Team organisieren, wie sie ihre Prozesse gestalten, ist ziemlich egal.

6.   Selbstorganisation und Lernen breiter verankert

SP: Noch mal ganz konkret zu Pickert & Partner: Wie war das für Sie? Was war hier anders?

JG: Was hier wahrnehmbar anders war für mich als Auditor:
Zum einen war immer klar, über welchen Prozess wir reden. Und vor allem, wer die Verantwortung für den Prozess hat und wie der Prozess gesteuert und verbessert wird. Ich konnte schnell erkennen, wie Fehlermeldungen in den Prozess reinkommen und wie das Team diese verarbeitet. Rückkopplungen und Verbesserungen sind viel breiter in der Organisation verankert – nicht mehr Top down.
Oft ist es ja so: Oben wird gedacht – unten lediglich gemacht. Bei Pickert & Partner und den anderen agilen Unternehmen, die ich kennengelernt habe, denken sehr viel mehr Leute mit. Da wird abgeholt und genutzt, was an der Basis für Wissen, an wichtigem Detailwissen da ist.

7.   Der Prozess, das eigene Baby – mehr kompetente Kommunikation

SP: Welche Konsequenzen hat das für ein Audit?

JG:dass ich als Auditor sehr viel stärker mit den Teams bzw. mit den Repräsentanten der Teams sprechen konnte. Und zwar mit solchen, die in die aktive Prozesse eingebunden waren. Das waren Diskussionen auf einer höheren Ebene.
Da habe ich nicht nur gefragt: Wo ist die Prozessbeschreibung? Hast du Schritt drei, vier und fünf gemacht? Und sechs, warum hast du den ausgelassen? Das hat sehr viel mehr Spaß gemacht!

SP: Also mehr kommunizieren, mehr zuhören?

JG: Mehr zuhören – genau. Und ein besseres Prozessverständnis, das ich im Audit challengen (Anm.: hinterfragen) kann. Denn das ist bei jemandem, der den Prozess aktiv mitgestaltet, der ihn als „sein Baby“ empfindet, ganz anders als bei jemandem, der weisungsgebunden mit vorgegebener Checkliste etwas abarbeitet.
Das mag in Produktionsunternehmen hilfreich sein. Mein Schwerpunkt ist allerdings die Informationstechnik. Von daher gesehen kann ich nicht für alle Branchen sprechen.

8.    Parallelität macht schneller und wirksamer

JG: Was ich auch wahrgenommen habe: da ist ein höheres Maß an Parallelität in der Aktivität.

Das „buy-in“ (Anm.: Beitrag, Mitwirkung) ist an der Basis, in den Teams: „Das ist unser Prozess! Wir müssen den optimieren. Wir müssen den besser oder sicherer machen“  oder was auch immer…

SP: Was genau meinen Sie mit „Parallelität“?

JG: Da ist jedes Team so unterwegs. Der Geschäftsführer kann sich ja nicht parallel um alle Prozesse gleichzeitig kümmern. Wenn die Prozessverantwortlichen und die Teams parallel an den Prozessen arbeiten und nicht jede Kleinigkeit rückkoppeln müssen, dann geht es ja viel schneller. Es gibt keinen „Flaschenhals“ und keine Entscheidungsengpässe durch die Geschäftsführung.

9.    Klare Rollen – Vorsicht GF: Einmischung unerwünscht!

JG: Und die Geschäftsführung muss lediglich dafür sorgen, dass alles im Rahmen des Gesamt-Kontextes zusammenpasst und im Zweifel auch einmal die Geldtasche aufmachen für einen Invest.

Sie mischt sich nicht in Sachen ein, die sie besser von ihren Fachteams organisieren lässt. Sie bestimmt die Rahmenbedingungen. Und genauso – jetzt komm ich wieder auf die high level structure der Managementsysteme – genauso ist ja eine Normen gedacht:
Das Topmanagement sorgt für die Rahmenbedingungen. Und die Organisation sorgt für die Umsetzung und überprüft regelmäßig anhand von Performanceparametern und im Managementreview: Sind wir auf dem richtigen Kurs?

Im 2.Teil des Interviews geht es um weitere vermeintliche Spannungsfelder (Verantwortung, Kontrolle und Fehlerkultur, Planung) und die  Frage, wie Auditoren sich darauf einstellen können.
Bis bald 😉

Links & Verweise

Über den agilen Aufbruch von Pickert & Partner haben Sven Rimmelspacher und Christian Wißmann ein Buch geschrieben. Es erscheint Anfang Dezember 2018.

Bilder-Nachweis

alle Bilder von Pixabay (z.T. bearbeitet) bis auf

pdca-Loop: Quelle  By ChristophRoser. Please credit „Christoph Roser at AllAboutLean.com“. – Own work, CC BY-SA 4.0, https://commons.wikimedia.org/w/index.php?curid=47640479