Die DIN 77200 gibt Auftraggebern Hilfsmittel an die Hand, um die Sicherheitsdienstleistungen richtig zu planen und zu überwachen. Sie stellt Mindestanforderungen vor, die als Vertragsgrundlage dienen können. Bei öffentlichen Vergaben eignet sich die DIN 77200, um Leistungskriterien für die ausgeschriebene Dienstleistung zu definieren. Der Artikel zeigt, welchen Weg Unternehmen nehmen können, um zu einer DIN 77200-Zertifizierung zu gelangen. Dabei geht er auch auf beispielhafte Projektlaufzeiten und Stolpersteine ein.

DIN 77200-Zertifizierung bietet viele Vorteile

Neben Kostenersparnissen und neuen Kundenpotentialen legt eine Zertifizierung nach DIN 77200 den Grundstein für die Digitalisierung von Prozessen und Abläufen. Durch eine frühzeitige Zertifizierung können Unternehmen sich vom Markt abgeben und so in Konkurrenz zu großen und namhaften Anbietern treten. Im Artikel „DIN 77200: Mit einem Zertifikat Kosten sparen und neue Kunden gewinnen“ wird ausführlich erklärt, welchen Mehrwert ein DIN 77200-Zertifikat bietet und warum.

Am Anfang steht der Ist-Stand

Die Ausgangsbedingungen für Unternehmen, die eine Zertifizierung nach DIN 77200 in der Version aus 2017 anstreben, sind unterschiedlich. Einige Unternehmen waren bereits nach der Vor-Version zertifiziert. Andere wollen das System gänzlich neu aufsetzen. Wieder andere verfügen über ein ISO 9001-Zertifikat. In allen Fällen gilt: Am Anfang des Prozesses steht die Bestandsaufnahme. Im Rahmen einer Potenzialanalyse sollte analysiert werden, welche Prozesse in welcher Ausprägung bereits vorhanden sind. Dabei ist eine reine ja/nein-Logik nicht hilfreich. Es ist wichtig, auch eine qualitative Bewertung vorzunehmen.

Reifegrade beschreiben den Ist-Stand

Reifegrade eignen sich für eine qualitative Bewertung. Es existieren eine Vielzahl von Reifegradmodellen. Ein möglicher Ansatz ist SPICE. Hier sind fünf Reifegradstufen definiert [1]. Reifegradstufe 0 („unvollständig“) bedeutete, dass der Prozess im Grunde nicht vorhanden ist. Stufe 1 („durchgeführt“) beschreibt einen Prozess, der zwar umgesetzt wird, dem allerdings keine Planung oder Dokumentation zugrunde liegen. Das gewünschte bzw. in der Norm geforderte Ergebnis ist jedoch erkennbar. Sind klare Verantwortlichkeiten benannt und unterliegt der Prozess einer Planung (z. B. weil er regelmäßig umgesetzt wird), ist die Stufe 3 („gemanagt“) erreicht. Durch eine zugrundeliegende Dokumentation (z. B. in Form von Prozessbeschreibungen oder Verfahrensanweisungen), die nachvollzogen und angepasst werden kann, steigt der Reifegrad auf Stufe 4 („vorhersagbar“). Die höchste Stufe 5 („optimierend“) ist erreicht, wenn der Prozess regelmäßig überprüft und verbessert wird.

Reifegrade zeigen Potenziale auf

Die ermittelten Reifegrade, für die in der DIN 77200 beschriebenen Prozesse und Anforderungen zeigen, wo Handlungsbedarf besteht. Für eine Zertifizierung muss für alle Prozesse ein Reifegrad der Stufe 4 angestrebt werden. Dank eines Soll-Ist-Vergleiches wird nun offensichtlich, wo die größten Baustellen bestehen. Eine Aufwandsschätzung wird einfacher. Ausgehend vom Ergebnis der Bestandsaufnahme kann ein Maßnahmenplan definiert werden.

Qualitätsmanagement nicht vergessen

Eine Zertifizierung nach DIN 77200 setzt das Vorhandensein eines Qualitätsmanagementsystems (QMS) voraus. Der Aufbau eines QMS ist schematisch in nachstehender Grafik dargestellt.

Abbildung 1: Struktur eines QMS (Quelle: in Anlehnung an ISO 9001)

Im Rahmen der Bestandaufnahme muss auch betrachtet werden, ob die Planungs- (plan), Umsetzungs- (do), Überprüfungs- (check) und Verbesserungsprozesse (act) des QMS wirksam sind, um eine gleichbleibende Qualität für Sicherheitsdienstleistungen zu erreichen. Als Grundlage kann hier z. B. die ISO 9001 (Anforderungen an Qualitätsmanagementsysteme) dienen. Ist die Organisation bereits nach ISO 9001 zertifiziert, riecht für die Bestandsaufnahme ein Blick in den letzten Auditbericht, um zu Handlungsbedarf zu erkennen. Achtung: Der Geltungsbereich des QMS muss sich auf die Sicherheitsdienstleistung erstrecken. Ein QMS für die eigene Sicherheitsschule ist für die DIN 77200 nicht ausreichend.

Ein Berater kann die Bestandsaufnahme begleiten und dank der Unabhängigkeit zur Objektivität der Bewertung beitragen.

Grundlagen schaffen

Auf die Bestandsaufnahme folgt die Umsetzung. Der erste Schritt ist der Aufbau bzw. die Anpassung des QMS. In diesem Schritt werden die Anforderungen der ISO 9001 implementiert. Dies beinhaltet die Erstellung (oder Aktualisierung) und Freigabe der verpflichtenden Dokumente (z. B. Qualitätspolitik, -ziele, Geltungsbereich, Prozessmodell, Vorgaben zur Lenkung von Dokumenten, interne Auditprozesse, Umgang mit Beschwerden).

Die Dokumentation muss in der Realität gelebt werden. Zu diesem Zeitpunkt sollten deshalb auch alle Mitarbeiter geschult und sensibilisiert werden.

Unternehmen, die bereits ein QMS betreiben, können in diesem Projektschritt Zeit sparen und einige Schritte überspringen.

Den Rahmen festlegen

Im dritten Schritt werden die Anforderungen der DIN 77200 umgesetzt. Im ersten Schritt muss das Unternehmen entscheiden, welche Dienstleitungen zertifiziert und welche Standorte des Unternehmens in die Zertifizierung aufgenommen werden sollen. Die DIN unterscheidet nach stationären Dienstleistungen (zu diesen zählen Alarmdienste, Empfangsdienste und Kontrolldienste), mobile Dienstleistungen (Revierdienste, Interventionsdienste und Kontrolldienste) sowie Veranstaltungssicherungsdiensten. Hierbei ist zu beachten, dass auch nach der Zertifizierung nicht jede Dienstleistung nach DIN 77200 umgesetzt werden muss. Es kann vorkommen, dass Kunden nur einzelne zertifizierte Dienst beauftragen. Andere Kunden wiederum verzichten gänzlich auf die Umsetzung der Norm (siehe nachstehende Abbildung).

Abbildung 2: Beauftragte Sicherheitsdienstleistungen (grün) nach DIN 77200 und ohne Anforderungen nach DIN 77200

DIN 77200 integrieren

Die QMS-Dokumentation wird um die spezifischen Aspekte der DIN 77200 erweitert (vgl. hierzu das Inhaltsverzeichnis der Norm auf beuth.de). Ein besonderes Augenmerk legt die DIN 7720 auf das Risikomanagement. Ein zentraler Bestandteil dieser Projektphase ist daher die Bewertung von Risiken für die Sicherheitsdienstleitungen und die Identifikation kritischer Prozesse.

Für die Umsetzung der Dienstleistungen muss eine umfangreiche Dokumentation erstellt der angepasst werden (z. B. Dienstanweisungen, Management von Schließmitteln, Mitarbeiterprofile, Melde- und Berichtswesen). Sofern im Rahmen der Dienstleistungen Subunternehmen zum Einsatz kommen sollen, muss ein Verfahren erarbeitet werden, das Sicherung der Qualität und die Umsetzung der DIN 77200 gewährleistet. Hierfür können ggf. Lieferantenaudits notwendig sein.

Aus- und Fortbildung systematisch planen

Die DIN 77200 stellt hohe Anforderungen an die Aus- und Weiterbildung des Personals. In einem strukturierten Prozess muss festgestellt werden, wie die einzelnen Mitarbeiter fortgebildet werden sollen, die in zertifizierten Aufträgen zum Einsatz kommen. Ein Schulungs- und Weiterbildungsprogramm muss erarbeitet werden. Insbesondere bei diesem Punkt ist Weitsicht wichtig, denn nach der ersten Zertifizierung, bei der 35 % (bzw. 20 % bei Veranstaltungsdienstleistungen) der eingesetzten Mitarbeiter die Qualifikationsanforderungen der Norm erfüllen müssen, steigt die Anforderung bei der Folgezertifizierung auf 60 % (bzw. 40 %). Der Zertifizierungszeitraum von drei Jahren muss also genutzt werden, um diese Quoten zu erreichen.

Test am lebenden System

Vor der eigentlichen Zertifizierung kommt eine vierte Projektphase. Das aufgebaute System muss gelebt werden. Während das QMS nun bereits seit einiger Zeit betrieben wird, müssen die DIN 77200-Prozesse in die betriebliche Praxis umgesetzt werden. Auch wenn zu diesem Zeitpunkt noch kein Auftrag vorliegt, der nach DIN 77200 umgesetzt werden muss, empfiehlt es sich ein bis zwei Pilotkunden auszuwählen. Bei diesen werden alle Dienstleistungen, die später zertifiziert werden sollen, nach DIN 77200 umgesetzt. In dieser Phase sollte auch eine Zertifizierungsstelle ausgewählt und beauftragt werden.

Der Check-Prozess des QMS (vgl. Grafik oben) wird in dieser Projektphase umgesetzt. Interne Audits, wie sie in der ISO 9001 gefordert sind, stellen sicher, dass im Projekt nichts vergessen wurde und alle Prozesse wirksam umgesetzt sind. Eine Managementbewertung zum Ende des Projektes gibt der Unternehmensleitung die Gelegenheit Feedback zu geben und neue Ziele für das QMS zu definieren.

Qualität braucht Zeit

Die vorstehende Beschreibung zeigt, dass eine DIN 77200-Zertifizierung nicht innerhalb von Tagen oder Wochen möglich ist. Abhängig von der Größe der Organisation, den verfügbaren Ressourcen und dem Reifegrad zu Projektbeginn ist ein Zeitraum von drei Monaten bis zu einem Jahr realistisch. Mit viel Kraft und Aufwand, können ggf. auch kürzere Implementierungszeiträume erreicht werden. In solchen Fällen ist aber die Nachhaltigkeit zu hinterfragen. Ein stabiles Managementsystem braucht Praxis und Zeit. Was bei der Implementierung gespart wird, muss beim Betrieb des QMS zugelegt werden.

Der beispielhafte Ablauf eines Projektes zur DIN 77200-Zertifizerung ist in der folgenden Grafik dargestellt.

Abbildung 3: Beispielhafter Projektablauf für eine DIN 77200-Zertifizierung

Vor dem Audit: No Gos eliminieren

Die Umsetzung der DIN 77200 in mindestens einem Auftrag pro Dienstleistung ist kritisch. Eine Zertifizierung setzt voraus, dass bereits Personal für die zu zertifizierende Dienstleistung arbeitet und mindestens ein Auftrag (je Dienstleistung) normkonform umgesetzt ist. Bevor der Auditor kommt, muss dies sichergestellt sein. Andernfalls gibt es kein Zertifikat.

Für den oder die betreffenden Aufträge muss zudem gewährleistet werden, dass nicht mehr als 50 % des eingesetzten Personals von Subunternehmern stammt. Vor einem Audit sollten diese Aspekte nochmals geprüft und ggf. nachjustiert werden.

Nach dem Audit: Hausaufgaben zügig erledigen

Nach dem Audit gilt es die festgestellten Abweichungen zügig zu beheben. In der Regel werden Zertifizierungsstellen erst nach Abstellung aller Mängel das Zertifikat ausstellen. Bereits im Audit sollten mit dem Auditteam mögliche Wege zur Abstellung und zum Nachweis definiert werden. Werden diese Nachweise nicht innerhalb einer definierten Zeit erbracht, gibt es in der Regel gar kein Zertifikat [2].

Frühzeitig mit der DIN 77200-Zertifizerung beginnen und neue Aufträge sichern

Der Artikel legt dar, warum eine DIN 77200-Zertifizierung eines zeitlichen Vorlaufs bedarf und wie umfangreich das Vorhaben sein kann. Es ist daher ratsam frühzeitig mit den Vorbereitungen zu beginnen. Die Zertifizierung am Ende des Projektes ist zwar der wichtigste Meilenstein, kann aber vergleichsweise zeitnah umgesetzt werden, wenn die Voraussetzungen erfüllt sind. Mit dem vorgestellten Vorgehen sind auch Kombinationen mit einem ISO 9001-Zertifikat möglich. Unternehmen erreich so höchste Flexibilität.

Worauf warten Sie?

Warten Sie nicht länger und vertrauen Sie bei Ihrem Vorhaben meiner Beratung. Ich unterstütze Sie bei Umsetzung Ihres Projektes und begleite Sie bis zum Zertifikat. Nehmen Sie noch heute Kontakt auf!

[1] Jacobs, S. (2019). SPICE — Enzyklopaedie der Wirtschaftsinformatik. [online] Enzyklopaedie-der-wirtschaftsinformatik.de. Verfügbar unter: http://www.enzyklopaedie-der-wirtschaftsinformatik.de/lexikon/is-management/Systementwicklung/reifegradmodelle/spice [aufgerufen am 1. Feb. 2019].

[2] Qualidata. (2019). Zertifizierungsverfahren DIN 77200-1 – Qualidata. [online] Verfügbar unter: https://qualidata.de/din-77200/zertifizierungsverfahren-din-77200-1/ [aufgerufen am 1. Feb. 2019].

    Kontakt aufnehmen

    15 + 2 =