Ergebnisse in Bezug auf das Gesamtprozessmodell

In allgemeiner Natur und in den einzelnen Prozessabläufen des Gesamtprozessmodells wurden positive und negative Aussagen von den Expertinnen und Experten getroffen. Entsprechend zu den zuvor beschriebenen Ergebnissen bzw. anhand der Verbesserungsvorschläge der Expertinnen und Experten, welche auch in Papierform dokumentiert wurden, werden diese in diesem Kapitel näher beschrieben. Nach näherer Betrachtung

der einzelnen Verbesserungsvorschläge wurden diese bei einer Übereinstimmung bzw. nach ihrer Aussagekraft nachträglich im Gesamtprozessmodell berücksichtigt und adaptiert. Marginale Ergänzungen und Verbesserungen, die im Gesamtprozessmodell nachträglich berücksichtigt wurden, werden jedoch nicht näher beschrieben.

Reihenfolge der Prozessabläufe

Gesamtheitlich betrachtet wurden die einzelnen Prozesse des Gesamtprozessmodells bis auf den Prozess „Behandlungsplan erstellen“

positiv beurteilt. Lediglich waren sich nicht alle Expertinnen und Experten einig, dass der Prozess „Behandlungsplan erstellen“ in der „Do-Phase“ des Gesamtprozessmodells verankert werden sollte. Die Experten 1 und 5 waren der Meinung, dass dieser Prozess in der „Plan-Phase“ des Gesamtprozessmodells zu behandeln ist.

„Die Behandlung konzipieren ist noch Teil des Plans, und dann kippt es aber bei Behandlungsplan erstellen, in die Do-Phase. […] Ich würde den Behandlungsplan erstellen wahrscheinlich mit in den Bereich ‚Plan‘ ziehen, dann wäre es nämlich für mich logischer, dass das ‚Do‘ Sicherheitsmaßnahmen umsetzen auch tatsächlich mit Maßnahmen umsetzen anfängt“ (Experte 1, Interview, 05.06.2017).

„Den Behandlungsplan erstellen, da bin ich gespalten, weil ich sage: Hier tun wir ja schon umsetzen. […] Behandlungsplan erstellen, das wäre mir da zu spät.

Das würde ich hinauftun in Planung“ (Experte 5, Interview, 04.07.2017).

Ein weiterer Experte gab zwei Möglichkeiten an, weshalb der Prozess

„Behandlungsplan erstellen“ in der Planungsphase oder in der Umsetzungsphase eingebettet werden sollte.

„[…] ich sage mal, das ist […] im Mittelbereich. Ich muss auf jeden Fall, bevor ich einen Behandlungsplan endgültig erstelle, muss ich vorher die Freigabe haben, ja. Ich kann aber den Behandlungsplan, ja, mehrere Varianten vorher erstellen und dann zur Abstimmung geben und dann umsetzen. Also es ist je nachdem, was damit gemeint ist. Will man eine Behandlung konzipieren im Bereich Sicherheitsmaßnahmen festlegen, bereits gemeint ist, ja, dass ich mehrere Varianten habe, die noch mal zur Abstimmung kommen, dann ist es da oben definitiv ausreichend. Und wenn mit Behandlungsplan erstellen gemeint ist, dass er bereits abgestimmt worden ist, konkretisiert worden ist und jetzt nur mehr in die Umsetzung geht, dann passt er unter

Sicherheitsmaßnahmen umsetzen definitiv hin“ (Experte 6, Interview, 10.07.2017).

Ein weiterer Experte war der Meinung, dass der Prozess „Behandlungsplan erstellen“ in der Planungsphase erfolgen sollte. Diesbezüglich wird die Aussage des Experten wie folgt festgehalten:

„Nein, weil wenn ich in die Organisation eingreife – das heißt, ich bin nicht mehr in der Ablauforganisation, sondern in der Aufbauorganisation – dann sind das zwei verschiedene Stellen. Also die Konzeptionierung wird meistens vom Spezialisten gemacht und den Behandlungsplan erstellen, das geht schon sehr in Richtung Einkauf rein, ist schon Spezifizierung; Was brauchen wir?‘ und dann noch die Ausschreibung dahinter. Ich finde es gut so, wie es angesetzt ist“

(Experte 4, Interview, 19.06.2017).

Praxistaugliche Darstellung bei der Freigabe von Dokumenten

Gespaltene Meinungen unter den Expertinnen und Experten gab es bei der Darstellung in Bezug auf die Freigabe von Dokumenten. Hierbei merkten drei Expertinnen und Experten an, dass dieser Prozessschritt nicht praxisorientiert sei und überdimensioniert wäre. Deswegen wurde der Prozessabschnitt in Bezug auf die Dokumentenfreigabe noch einmal überdacht und optimiert.

„[…] das ist aus meiner Sicht ein hochproblematisches Thema, nicht weil es vom Prinzip und vom Prozess her falsch wäre, ganz im Gegenteil, da ist es goldrichtig, aber weil es bei einem potenziell so sensiblen und für ein Management so schwer vorhersehbaren, im Vorfeld quantifizierbaren Thema ist. […] Ich sage Ihnen ganz ehrlich, wenn ich Ihr Vorstand wäre und Sie als Sicherheitschef mit der Aufforderung zu mir kämen nach dem Motto ‚Ich möchte bitte schriftlich bestätigen, dass ich mich entschieden habe, diese oder jene von Ihnen empfohlene Maßnahme nicht umzusetzen, implizit oder explizit, und ich übernehme die Verantwortung und die potenzielle Konsequenz dieser Maßnahme, die Sie mir als Sicherheitsverantwortlicher immer vor Augen führen, ist Gefahr für Leib und Leben der Mitarbeiter.‘ Ich wäre ja wahnsinnig, wenn ich Ihnen das unterschreiben würde“ (Experte 1, Interview, 05.06.2017).

„[…] Empfehlungen ablehnen und Empfehlungen annehmen, da sind wir wieder in der Organisation drinnen. Im Normalfall wird das derjenige machen, der der Risk Owner ist. Und das ist nicht für alle Fälle die oberste Leitung. Weil nur der sagen kann‚ Okay, ich trage das Risiko oder ich trage das Risiko nicht. […] im

Endeffekt ist es immer die oberste Leitung. Allerdings wird die oberste Leitung nicht mehr bald dein Freund sein […]“ (Experte 4, Interview, 19.06.2017).

„[…] was man nicht tun darf, ist, dass man sich jetzt verzettelt. Also es bringt nichts, jetzt einzelne Schritte, die dann wirklich Zeit verzögern, sondern das Ganze soll auch einen Sinn haben, […] keep it simple und weniger ist oft mehr.

[…] Also wenn wir da lesen, Bericht wird erstellt, Bericht wird freigegeben, wird analysiert weitergegeben. […] Also da muss man, wie gesagt, ein bisschen die Kirche im Dorf lassen“ (Experte 5, Interview, 04.07.2017).

Qualitätsschleifen berücksichtigen

Kritisiert wurde von den Experten, dass im Prozess keine Qualitätsschleifen berücksichtigt worden sind, z.B. dass vor der Freigabe von Dokumenten das ausgearbeitete Konzept eine Qualitätskontrolle durchlaufen muss.

„[…] ich brauche für die Sicherheitsabteilung, […] klar definierte Schnittstellen und klar definierte Rollen. Das gilt, wenn ich in die drei Themenfelder gehe:

People, Assets und Operations. Da muss ich mir überlegen, an welchen Stellen ich, mit welchen Maßnahmen innerhalb dieser drei Bereiche ich das Unternehmen schütze […] und in meinen Augen sollte sich das in den Prozessen und in den Strukturen abbilden. […] Der zweite Punkt ist die Frage, wie Sie im Unternehmen die Management Oversight über das Thema Sicherheit gewährleisten? Ich persönlich bin ein großer Fan da ein entsprechendes Steering Committee zu haben. Warum? Weil die Aufgaben der Sicherheit normalerweise als Querschnittsfunktion über verschiedene Vorstandsbereiche gehen. Ich bin kein Anhänger der These, dass der Sicherheitschef schnell zwingend an den Vorstandsvorsitzenden berichten muss“ (Experte 1, Interview, 05.06.2017).

„Sie erstellen ein Konzept, aber dann werden Sie es mit den wesentlichen Stakeholdern abstimmen müssen. Und die Abstimmung fehlt mir. Und ein final abgestimmtes Dokument oder Konzept, das geben Sie dann erst dann der Leitung. Weil die Frage, die sich für mich stellt, ist: Warum sollte das oberste Management etwas ablehnen? Es kann Sie ablehnen, weil es das nicht versteht. Es kann Sie noch mal in eine Qualitätsschleife schicken. Es kann tertiär noch einmal sagen: ‚Reden Sie vielleicht mit einem zusätzlichen Stakeholder, den Sie außer Acht gelassen haben‘. Ja, aber eine oberste Leitung, wenn Sie schon die gesamte Tätigkeit hier machen, wird Ihnen nicht einfach sagen: Nein, geht nicht“ (Experte 5, Interview, 04.07.2017).

„Was ich im Prinzip machen würde, […] und das kann man sich beim Prozess auch überlegen, standardisiertes Qualitätsboard“ (Experte 8, Interview, 18.07.2017).

Relevante Ergebnisse im Gesamtprozessmodell

Wie auch schon zuvor erwähnt wurden die einzelnen Prozesse des Gesamtprozessmodells von den einzelnen Expertinnen und Experten akzeptiert. Jedoch waren, neben den allgemeinen Ergebnissen des Gesamtprozessmodells, weitere Anpassungen notwendig. Hierbei werden nur die relevanten Erkenntnisse aufgezeigt. Marginale Verbesserungspotenziale wie Tippfehler, grafische Darstellung der Pfeile, Bezeichnung einzelner Prozessschritte und Dokumente wurden nicht berücksichtigt, jedoch im Gesamtprozessmodell angepasst.

Ein Experte gab an, dass es im Prozessmodell sinnvoll wäre, weitere Subprozesse mit entsprechenden Methoden anzuführen, um das Vorhaben noch greifbarer zu machen. Dieser Vorschlag wurde vom Autor nicht berücksichtigt, da dieser den Rahmen der Arbeit sprengen würde und als Zielsetzung ein allgemein gehaltenes Gesamtprozessmodell zu erarbeiten definiert wurde (Experte 4, Interview, 19.06.2017).

Bei Prozess „Behandlungsplan erstellen“ gab der Experte 5 an, dass ein weiterer Prozessschritt berücksichtigt werden muss, wenn ein Behandlungsplan nicht zur Gänze freigegeben wird (Interview, 04.07.2017).

Dieser Prozessschritt wurde aufgrund der Komplexität nicht berücksichtigt, da der Autor der Meinung war, dass so ein zusätzliches Procedere weitere Auswirkungen auf die nachfolgenden Prozessschritte im Gesamtprozessmodell haben könnte, welcher auch in Abhängigkeit einer Organisation zu gestalten ist.

Einen wichtigen Ansatz brachte der Experte 5 dahingehend, dass im Prozessmodell „Incidents managen“ das Vorfallmanagement zwei unterschiedliche Betrachtungsweisen haben sollte. Kleine Vorfälle, welche den Betrieb nicht stören, sollten zuerst über einen Service Desk behandelt werden und Einflüsse, die nicht durch den Service Desk gelöst werden können, über eine separate Meldestelle (Interview, 12.07.2017). Dieser Vorschlag wurde vom Autor angenommen und im Prozess visualisiert.