Jeder weiß es, aber es gelingt trotzdem nur selten: Da wurde das Sicherheitskonzept schon über ein Jahr nicht mehr aktualisiert, die aktuelle Version vom IT-Notfallhandbuch liegt irgendwo einem Fileserver und wo sich die aktuellen Versionen der verschiedenen Konzepte befinden, wissen nur deren Ersteller. Ohne feste Regeln, d. h. Dokumentenlenkung für die regelmäßige Überprüfung und Überarbeitung der Dokumente, wird an dem beschriebenen Zustand auch nichts ändern. Nicht umsonst fordern relevante Standards die Einrichtung von Verfahren zur Dokumentenlenkung.
Von der ISO Norm 9001 lernen
Die Qualitätsmanagementnorm ISO 9001 beispielsweise beschreibt im Abschnitt 4.1 Dokumentationsanforderungen für das Qualitätsmanagement. Hierin fordert die Norm die Dokumentation und Umsetzung von sechs definierten Verfahren. Zwei davon sind Dokumentationsverfahren und lauten:
- Lenkung von Dokumenten
- Lenkung von Aufzeichnungen
Gemäß Norm stellen Aufzeichnungen einen besonderen Dokumententyp dar, für deren Management gesonderte Verfahren erforderlich sind. Sie müssen „erstellt und aufrechterhalten werden, um einen Nachweis der Konformität mit den Anforderungen … bereitzustellen“. Bei Aufzeichnungen handelt es sich also um Nachweise, im Gegensatz zu den Vorgabedokumenten. Vorgabedokumente definieren, wie bestimmte Tätigkeiten zu verrichten sind oder wie in bestimmten Situationen zu verfahren ist. Aufzeichnungen hingegen belegen, welche Ergebnisse erreicht und dass bestimmte Pflichten erfüllt wurden.
Im deutschen Sprachraum werden Vorgabedokumente in der Regel kurz als Dokumente und Nachweisdokumente als Aufzeichnungen bezeichnet.
Vorgabedokumente sind durch folgende Merkmale gekennzeichnet:
- Sie definieren Anforderungen an Tätigkeiten (Prozesse, Arbeitsabläufe) oder Systeme,
- sie können geändert werden und unterliegen regelmäßigen Überprüfungszyklen,
- sie können einem Verantwortlichen zugeordnet werden,
- sie müssen für eine definierte Verwendung (in einem Prozess oder als Compliance-Nachweis) zur Verfügung stehen.
Aufzeichnungen (Nachweisdokumente) weisen die folgenden wesentlichen Merkmale auf:
- Sie enthalten die Beschreibung eines erreichten Zustandes,
- sie dürfen nicht geändert werden,
- sie sind als Nachweis aufzubewahren.
Wird dieser Ansatz auf die Dokumente der IT-Dokumentation übertragen, können unter anderem Installationsanleitungen, Konzepte und Wartungsverträge der Kategorie Vorgabedokumente zugeordnet werden. Bei Statusberichten zum aktuellen Patchstand oder Monitoring-Auswertungen hingegen handelt es sich um Aufzeichnungen.
Wie aber können nun die Dokumentationsverfahren helfen, die IT-Dokumentation aktuell zu halten?
In der Praxis genügt es nicht nur die Dokumente in ihrem aktuellen Zustand zu betrachten. Jedes Dokument durchläuft von der ersten Arbeitsversion bis zu seiner endgültigen (finalen) Version verschiedene Stufen. Alle Phasen lassen sich in einem Dokumentenlebenszyklus darstellen. Dieser Zyklus beschreibt den Prozess, den ein Dokument von seiner Erstellung über die Verwendung bis zum Löschen oder bis zum Sichern in einem Langzeitarchiv durchläuft. Wie bereits ausgeführt fordert die ISO Norm 9001 nicht nur eine generelle Unterscheidung, sondern vor allem eine unterschiedliche Verwaltung von Dokumenten und Aufzeichnungen.
Gut zu wissen: Wir unterstützen Sie bei der Erstellung der notwendigen Vorgabedokumente. Hierzu gehören auch Richtliniendokumente zur Dokumentenlenkung. Mehr erfahren …
Dokumentenlenkung Vorgabedokumente
Gemäß ISO 9001:2008 müssen die vom Qualitätsmanagementsystem geforderten Vorgabedokumente gelenkt, also gesteuert werden. Hierfür ist es erforderlich:
- „Dokumente bezüglich ihrer Angemessenheit vor ihrer Herausgabe zu genehmigen,
- Dokumente zu bewerten, sie bei Bedarf zu aktualisieren und erneut zu genehmigen,
- sicherzustellen, dass Änderungen und der aktuelle Überarbeitungsstatus von Dokumenten gekennzeichnet werden,
- sicherzustellen, dass gültige Fassungen zutreffender Dokumente an den jeweiligen Einsatzorten verfügbar sind,
- sicherzustellen, dass Dokumente lesbar und leicht erkennbar bleiben,
- sicherzustellen, dass Dokumente externer Herkunft gekennzeichnet werden und ihre Verteilung gelenkt wird, und
- die unbeabsichtigte Verwendung veralteter Dokumente zu verhindern und diese in geeigneter Weise zu kennzeichnen, falls sie aus einem Grund aufbewahrt werden“.
Es sollten daher für alle Phasen des Dokumentenlebenszyklus Prozesse definiert werden. Diese müssen sicherstellen, dass
- nur gültige Dokumente verfügbar sind,
- alle Dokumente zu jedem Zeitpunkt aktuell sind,
- ungültige Dokumente entfernt sind.
Leider wird gerade die Einführung von Dokumentationsprozessen in vielen Unternehmen vernachlässigt. Zwar wird vielfach einmalig „richtig aufgeräumt“, dann aber wird zu alten Verfahren zurückgekehrt. Wichtig jedoch ist, dass Dokumente regelmäßig aktualisiert werden und diese Änderungen standardisiert nach festen Vorgaben erfolgen. So muss zum einen sichergestellt werden, dass definierte Überprüfungszyklen auch nachvollziehbar eingehalten werden. Und auch der Änderungsprozess selbst muss standardisiert erfolgen. So darf es auch nicht passieren, dass ein Mitarbeiter Änderungen in einem Dokument vornimmt, während andere Mitarbeiter mit »ihrer« Arbeitsversion des Dokuments weiterarbeiten und von den Änderungen nichts mitbekommen.
Bei der Entwicklung und Implementierung von Verfahren zur Dokumentenlenkung können die nachfolgenden Fragen weiterhelfen:
- Wann wird ein neues Dokument erstellt?
- Wer ist für ein Dokument verantwortlich?
- Wer darf Dokumente erstellen / ändern?
- Wann und durch wen findet eine Qualitätsprüfung statt?
- Was wird geprüft (formale Richtigkeit und/oder inhaltliche Richtigkeit)?
- Wer darf welche Dokumente freigeben?
- Wo werden welche Dokumente bereitgestellt?
- Wie wird die Aktualität der Dokumente sichergestellt?
- Was und wer initiiert Änderungen?
- Wie erfolgt die Umsetzung von Änderung?
- Wie werden Änderungen kommuniziert?
- Welche Dokumente werden wie lange aufbewahrt?
- Wie wird mit veralteten Dokumenten umgegangen?
- Wie werden Aufbewahrungsfristen sichergestellt?
Eigentlich selbstverständlich, in der Praxis aber häufig vernachlässigt wird die Anforderung, dass alle an den Prozessen beteiligten Personen (hierzu gehören gegebenenfalls auch externe Berater) die Regelungen kennen und einhalten. Es ist daher zwingend erforderlich, einen Verantwortlichen für die Dokumentation zu benennen, der auch die Umsetzung der Prozesse sicherstellt.
Dokumentenlenkung Aufzeichnungen
Das wichtigste Merkmal von Aufzeichnungen ist deren Unveränderbarkeit. Nachvollziehbarerweise unterliegen Aufzeichnungen daher anderen Prozessen.
Gemäß Norm 9001 müssen „Aufzeichnungen lesbar, leicht erkennbar und wieder auffindbar bleiben. Ein dokumentiertes Verfahren muss erstellt werden, um die Lenkungsmaßnahmen festzulegen, die erforderlich sind für
- die Kennzeichnung,
- die Aufbewahrung,
- den Schutz,
- die Wiederauffindbarkeit,
- die Aufbewahrungsfrist von Aufzeichnungen
- und die Verfügung über Aufzeichnungen“.
Ihr Vorteil: Ohne Nachweisdokumente ist die Einhaltung von Anforderungen und die Umsetzung von Maßnahmen nicht nachweisbar. Profitieren Sie von unseren Erfahrungen beim Aufbau einer anforderungsgerechten IT-Dokumentation. Mehr erfahren …
Kurzer Exkurs: Dokumentierte Informationen
Wohl auch um den bestehenden sprachlichen Verwirrungen zu begegnen, hat die ISO/IEC in ihren 2014 als ISO/IEC Directives Part 1 veröffentlichten Richtlinien zur Entwicklung von internationalen Managementsystemnormen eine Reihe von Begriffen neu definiert. Bei den Directives, Part 1 handelt es sich um einen Leitfaden für die Entwickler von Managementsystemstandards, der sicherstellen soll, dass alle Normen einer gemeinsamen übergeordneten Struktur und einheitlichen Anforderungen entsprechen. Dies erleichtert auch den Aufbau integrierter Managementsysteme.
In Bezug auf die Dokumentation ist der Begriff Dokumentierte Informationen (engl. Documented Information) wichtig. Hierbei handelt es sich um Informationen, die von einer Organisation erstellt und gesteuert werden müssen. Dokumentierte Informationen können in jedem Format und auf jedem Medium gespeichert werden und aus jeder Quelle stammen.
Ob der Ansatz der ISO allerdings wirklich geholfen hat, mehr Klarheit in die Begriffswelt zu bringen, ist fraglich. Zumal für die Unterscheidung von Dokumenten und Nachweisen nun noch zwei weitere Begriffe hinzukommen sind. Geht es der ISO Norm um dokumentierte Vorgaben (nach bisherigem Normverständnis Dokumente), wird vom „Aufrechterhalten der dokumentierten Information“ gesprochen. Werden jedoch Nachweise verlangt (im bisherigen Verständnis der ISO Normen Aufzeichnungen), wird dies als eine Anforderung zur „Aufbewahrung dokumentierter Information“ bezeichnet. Hinzu kommt, dass einzelne ISO Normen selbst die Verbindlichkeit dieser Terminologie aufheben, wie das Beispiel der ISO 9001:2015 zeigt. In dieser heißt es, dass Organisationen die für sie am besten passenden Begriffe verwenden können und auch der Begriff der dokumentierten Informationen durch Bezeichnungen wie Aufzeichnungen, Dokumentation oder Protokolle ersetzt werden kann.
Fazit
Dem Rat der ISO 9001:2015 können wir uns nur anschließen. Es ist wichtig, dass die Begriffe im eigenen Kontext definiert und durchgängig verwendet werden. Eine Unterscheidung in Vorgabedokumente und Aufzeichnungen gemäß Qualitätsmanagementnorm ISO 9001 kann hierbei hilfreich sein. Die Aktualität der IT-Dokumentation kann langfristig aber nur mittels entsprechender Dokumentenlenkung aufrechterhalten werden. Auch hierfür bietet die ISO 9001 mit den darin geforderten Verfahren wichtige Impulse.
Manuela Reiss dokuit®