Transformation der Anforderungen auf die Organisation

Eine Analyse von FM‑Connect kommt zu dem Ergebnis, dass in vielen Unternehmen kein einheitliches Sicherheitsmanagement existiert und nur Teilbereiche wie Arbeitsschutz oder Gebäudesicherheit berücksichtigt werden. Dies führt dazu, dass wirtschaftliche Folgen von Sicherheitslücken nicht ausreichend analysiert werden und strafrechtliche Verantwortlichkeiten vernachlässigt werden. Ziel aller Sicherheitsaktivitäten ist es jedoch, Schäden an Menschen, Immobilien, Prozessen und Anlagen zu minimieren und damit das Unternehmen und Dritte zu schützen. Gesetzliche Auflagen stellen lediglich Minimalforderungen dar; aus eigenem Interesse sollten Unternehmen Sicherheitsmaßnahmen ganzheitlich betrachten.

Für die Integration der Sicherheit in die Organisation schlägt FM‑Connect vor, Sicherheitsmanagement als übergeordnete Teilaufgabe des Risikomanagements zu verstehen. Das Sicherheitsmanagement wird durch ein Anti‑Kriminalitäts‑Management ergänzt, das insbesondere die Risiken von Insiderdelikten, Betrug und Sabotage adressiert. Um die Aufbau‑ und Ablauforganisation sowie die technische Sicherheit zu überprüfen, empfiehlt der Beitrag einfache Instrumente wie Checklisten. Diese strukturierte Selbsteinschätzung ermöglicht es, Schwachstellen systematisch zu identifizieren und Organisationsverschulden zu vermeiden.

• Sicherheitsmanagement ist ein kontinuierlicher Prozess, der Risiken frühzeitig erkennt, bewertet, behandelt und überwacht.

• Sicherheitsaktivitäten gehen über gesetzliche Minimalanforderungen hinaus und dienen dem Schutz von Personen, Vermögenswerten und Prozessen.

• Risikomanagement ist ein zentraler Bestandteil des Qualitätsmanagements und lässt sich mittels Normen wie ISO 31000 und ISO 27001 systematisch umsetzen.

• Selbsteinschätzungen, Checklisten und klar definierte Verantwortlichkeiten helfen, Organisationsverschulden zu vermeiden.

Das Prozessmanagement‑Blog des Beratungshauses ibo betont den präventiven Charakter des Risikomanagements. Risiken sollten frühzeitig identifiziert werden, damit Gefährdungen gar nicht erst eintreten; dazu werden Risikobereiche vorab identifiziert und Kontrollen vorgesehen. Das Risikomanagement ist ein „wichtiger Baustein jedes Qualitätsmanagementsystems“. Die internationale Norm ISO 31000 bietet seit 2009 einen umfassenden Rahmen, der 2018 aktualisiert wurde. Ebenso weist der Blog darauf hin, dass andere Normen wie ISO 27001 für Informationssicherheit auf einem präventiven Risikomanagement basieren.

Die Norm DIN ISO 31000 betont, dass Risikomanagement ein wesentlicher Bestandteil einer guten und verantwortungsvollen Unternehmensführung ist. Sie verpflichtet Unternehmen zur Implementierung eines angemessenen Risikomanagements, um Haftung wegen Organisationsverschuldens zu vermeiden. Die Norm definiert ein Rahmenwerk mit Grundsätzen, Struktur und Prozess; zentrale Botschaft ist die Integration von Risikomanagement in alle Prozesse und Aktivitäten der Organisation und die Abkehr von einer isolierten Betrachtung oder nachgelagerten Risiko‑Berichterstattung.

Risikobereiche unterscheiden sich nach rechtlichen, wirtschaftlichen und branchenspezifischen Risiken. Im Prozessmanagement sind insbesondere operationelle Risiken relevant: technische Störungen, menschliche Fehlhandlungen, organisatorische Unklarheiten oder vorsätzliche Betrugsfälle. Der Beitrag erinnert daran, dass die Sorgfaltspflicht eines Geschäftsführers eine Organisationsstruktur erfordert, die rechtmäßiges Handeln sicherstellt. Fehlende Überwachungssysteme oder lückenhafte Prozesse führen zu Organisationsverschulden; dadurch drohen Bußgelder, Gewinnabschöpfungen oder persönliche Strafen. Compliance‑Management‑Systeme und Corporate‑Governance‑Kodizes helfen, strafrechtliche Konsequenzen zu vermeiden und das Vertrauen der Stakeholder zu stärken.

Das Prozessmodell der Unternehmenssicherheit strukturiert die Gesamtheit der Sicherheitsaktivitäten in einer Organisation. Es basiert auf der Einsicht, dass Sicherheit weder ein rein technisches Produkt noch eine isolierte Dienstleistung ist, sondern ein Organisationsprozess, der kontinuierlich geplant, umgesetzt, überwacht und verbessert wird. Traditionelle Managementsysteme wie ISO 9001 oder ISO 27001 nutzen hierfür den Deming‑Kreis („Plan‑Do‑Check‑Act“).

• Anforderungsanalyse: Zunächst werden die Sicherheits-, Kontinuitäts- und Risikopolitiken des Unternehmens definiert. Dabei werden externe Normen (Gesetze, Branchenstandards) und interne Unternehmensziele berücksichtigt. Der ibo‑Beitrag hebt hervor, dass Regeln nicht nur aus Gesetzen, sondern auch aus internen Vorgaben und ethischen Grundsätzen resultieren【492042733306388†L168-L190】. Die Sicherheitsanforderungen leiten sich sowohl aus körperlichen als auch aus seelischen Sicherheitsbedürfnissen ab.

• Transformation der Anforderungen: Die identifizierten Anforderungen werden in konkrete Sicherheitscharakteristika und Schutzziele überführt. In der FM‑Praxis bedeutet dies, technische, organisatorische und personelle Maßnahmen zu definieren, die den Anforderungen entsprechen. Dazu gehören Zutrittskontrollkonzepte, Videoüberwachung, Brandschutz, IT‑Sicherheitsmaßnahmen, aber auch Krisen- und Notfallpläne.

• Sicherheitsarchitektur und -konzept: Die Sicherheitscharakteristika werden in eine Sicherheitsarchitektur überführt, welche die erforderlichen Prozesse, Rollen und Technologien beschreibt. Sie umfasst die Aufbau- und Ablauforganisation, die Verantwortlichkeiten, das Kontroll- und Berichtswesen sowie die technischen Sicherungen (Mechanik, Elektronik, Cybersecurity). FM‑Connect betont die Notwendigkeit, die Aufbau- und Ablauforganisation und die technische Sicherheit systematisch zu untersuchen und mittels Checklisten zu dokumentieren.

• Implementierung und Betrieb: In dieser Phase werden die Sicherheitsmaßnahmen umgesetzt und in den laufenden Betrieb integriert. Schulungen, Awareness‑Programme und klare Verfahren sorgen dafür, dass Mitarbeitende die Prozesse verstehen und anwenden. Das ibo‑Blog hebt hervor, dass organisatorische Mängel wie unklare Kompetenzen, fehlende Vier‑Augen‑Prinzipien oder Informationsdefizite typische Risiken darstellen. Eine erfolgreiche Implementierung adressiert diese Risiken durch klare Kompetenzregelung und Kontrollen.

• Überwachung und Verbesserung: Sicherheitsmanagement ist dynamisch; die Wirksamkeit der Maßnahmen wird regelmäßig überwacht, bewertet und bei Bedarf verbessert. Sowohl FM‑Connect als auch die ISO 31000 weisen darauf hin, dass Risikomanagement ein kontinuierlicher Prozess ist. Monitoring, Audits, Incident‑Analyse und Lessons Learned sichern die ständige Verbesserung.

Dieses Prozessmodell unterstützt die FM‑Organisation dabei, Sicherheitsanforderungen methodisch in organisatorische Strukturen zu überführen und kontinuierlich anzupassen. Die Transformation der Anforderungen auf die Organisation ist demnach kein einmaliger Akt, sondern ein zyklischer Prozess, der mit der Strategie beginnt und in der kontinuierlichen Verbesserung endet.

• Vielzahl von Schnittstellen: FM‑Prozesse involvieren interne Einheiten (Gebäudetechnik, IT, Personal) und externe Dienstleister (Wachschutz, Reinigung, Wartung). Wie ibo betont, entstehen in unserer arbeitsteiligen Welt unzählige Schnittstellen und Abhängigkeiten, deren Koordination durch Standardisierung und Dokumentation vereinfacht wird. Die Transformation der Sicherheitsanforderungen muss daher auch die Dienstleisterbeziehung regeln, etwa durch vertragliche Sicherheitsanforderungen, Service‑Level‑Agreements und Audits.

• Technisch‑organisatorischer Dualismus: Sicherheitsmaßnahmen im FM sind häufig technischer Natur (Zutrittskontrollanlagen, Brandschutztechnik, Videoüberwachung), doch ihre Wirksamkeit hängt von der organisatorischen Einbettung ab. Checklisten und Selbsteinschätzungen identifizieren Schwachstellen in Planung, Bau, Betrieb und Instandhaltung. Ein systematisches Change‑Management stellt sicher, dass Änderungen an Anlagen oder Prozessen die Sicherheitsarchitektur nicht unterlaufen.

• Rechtliche Betreiberverantwortung und Haftung: FM‑Leitungen tragen besondere Verantwortung für die Sicherheit der Nutzenden. Das OLG Nürnberg hat in einem Urteil die Sorgfaltspflicht weit gefasst; sie umfasst die Pflicht zur Einrichtung eines Überwachungssystems, um Straftaten durch Unternehmen oder ihre Organe zu verhindern. Durch die Transformation der Sicherheitsanforderungen in strukturierte Prozesse können FM‑Organisationen Organisationsverschulden vermeiden und Haftungsrisiken verringern.

Sicherheitsmanagement wirkt nur dann nachhaltig, wenn es in der Organisationskultur verankert wird. Die ISO 31000 fordert, dass Führungskräfte eine Risikokultur fördern und eine klare Verpflichtung zum Risikomanagement artikulieren. Für FM‑Leitungen bedeutet dies, Sicherheit als Teil der Unternehmenswerte zu verstehen und Vorbild zu sein. Schulungen, Sensibilisierungskampagnen und transparente Kommunikation sind zentrale Elemente, um die Mitarbeitenden einzubeziehen. Dabei sollte eine Balance zwischen Sicherheitsmaßnahmen und Flexibilität („Flexicurity“) angestrebt werden, um trotz stabiler Sicherheitsstrukturen innovationsfähig zu bleiben.

Ein leistungsfähiges Sicherheitsmanagement hängt eng mit Governance, Risk und Compliance zusammen. Prozessmanagement bildet hierfür die Grundlage, indem es klare Abläufe und Prozesskennzahlen definiert. Compliance‑Regeln, interne Richtlinien und Corporate‑Governance‑Kodizes müssen in die Sicherheitsprozesse eingebettet werden. Ibo weist darauf hin, dass Compliance‑Management-Systeme nicht nur vor Strafverfolgung schützen, sondern auch die Reputation stärken. FM‑Organisationen sollten daher ein integriertes GRC‑System etablieren, das Sicherheitsziele, Risikoanalysen, Kontrollmechanismen und Berichtsprozesse in einem Gesamtframework zusammenführt.

Die digitale Transformation bietet neue Möglichkeiten zur Automatisierung und Transparenz von Sicherheitsprozessen. Moderne Gebäudemanagementsysteme vernetzen Sensoren, Zutrittskontrollanlagen und Videoüberwachungen; Datenanalysen können Muster erkennen und Anomalien melden. Allerdings erhöhen diese Technologien auch die Angriffsfläche. Eine enge Zusammenarbeit zwischen FM, IT‑Sicherheitsabteilung und externen Partnern ist erforderlich, um den Schutz kritischer Infrastrukturen zu gewährleisten. Der Präventionscharakter des Risikomanagements erfordert, technologische Risiken bereits im Planungsstadium zu berücksichtigen.

Der Deming‑Kreis verlangt, dass Sicherheitsprozesse regelmäßig überwacht und verbessert werden. Externe Audits, interne Reviews und Lessons‑Learned‑Workshops identifizieren Verbesserungsmöglichkeiten. Wie die ISO 31000 betont, müssen Risikomanagement und Sicherheitsmanagement laufend an neue Rahmenbedingungen angepasst werden. FM‑Organisationen sollten daher klare KPIs entwickeln (z. B. Sicherheitsvorfälle, Auditergebnisse, Schulungsstand) und Verbesserungsmaßnahmen ableiten.