TISAX®-Rezertifizierung mit neuen Mitarbeitern

In Zeiten immer kürzerer Betriebszugehörigkeiten trifft das früher oder später jeden Betrieb. Auch uns als TISAX®-Beratungsprofis geht es da nicht anders. Die Kollegin, die sich unserer eigenen TISAX®-Zertifizierung 2020 angenommen hatte, hat die TSX-Partners leider vor einem Jahr verlassen. Mit ihr als Hüterin aller internen Vorgänge ging leider auch wertvolles Wissen über unsere eigenen Prozesse. Was bleibt, sind zahlreiche Dateien in einem geduldigen Sharepoint-Verzeichnis.
Dazu kommt, dass der neue VDA/ISA Katalog 5.1 recht umfassend überarbeitet wurde. Einige Themen spielen keine Rolle mehr und andere Anforderungen sind inzwischen neu hinzugekommen.
Natürlich haben wir gegenüber anderen Unternehmen den Vorteil, hinsichtlich der geforderten Anforderungen auf dem neuesten Stand und bei der Bearbeitung von TISAX®-Audits routiniert zu sein. Dennoch muss man sich bei der Rezertifizierung erstmal durch eine unbekannte Ordnerstruktur quälen und alte Dateien durchforsten, um sich überhaupt ein Bild der Lage machen zu können. Was also tun? Und wann damit anfangen?

Das Kick-off

Eine gute und gleichzeitig auch schlechte Nachricht: Das neue TISAX®-Audit ist ein Komplett-Audit. Das heißt, der VDA/ISA-Katalog wird, wie schon vor drei Jahren, erneut komplett durchgeprüft. Die Ergebnisse des letzten Audits spielen dabei keine Rolle. Sie müssen also komplett von vorne beginnen. Es ist darüber hinaus zu erwarten, dass der Auditor bei der erneuten TISAX®-Zertifizierung höhere Maßstäbe ansetzen wird als beim ersten Audit vor drei Jahren, denn Ihr Unternehmen verfügt ja bereits über ein idealerweise gut eingespieltes Informationssicherheitsmanagementsystem. Entsprechend hoch sind die Erwartungen. 
Es gilt also keine Zeit zu verlieren. Stellen Sie ein Team zusammen und setzen Sie den Startschuss für die Dokumentation!
Verteilen Sie die Verantwortung und damit auch die Expertise auf mindestens zwei Personen. Fällt eine aus, haben Sie immer noch ein Backup – sowohl für die Vorbereitung des Audits als auch als Ansprechpartner:in für den Auditor während des Prüfungsprozesses selbst. Befindet sich noch ein/e Verantwortliche/r des letzten TISAX®-Audits in Ihrem Unternehmen, dann umgeben Sie sie oder ihn mit einem kleinen Team. – Stichwort Risikostreuung.

Verlieren Sie keine Zeit

Lassen Sie nicht unnötig Zeit verstreichen. Mindestens 12 Monate vor dem nächsten Audit sollte man sich im Unternehmen erneut fokussiert mit der Thematik auseinandersetzen. Vor allem, wenn neue Mitarbeitende sich neben dem regulären Tagesgeschäft ganz neu in das Thema und Ihre internen Prozesse einarbeiten müssen. Lassen Sie Sich mit dem Kick-off mehr Zeit, wird es schwieriger. Das Projektteam hat dann deutlich mehr Stress und Druck, alle Prüfkriterien und Prozesse noch rechtzeitig abzuarbeiten.

Externe Ansprechpartner und Prüfdienstleister

Dass sich Ihr Projektteam alleine durch den neuen VDA/ ISA-Katalog wühlt und dafür viel kostbare Zeit verbrennt, muss nicht sein. Unterstützen Sie Ihr Team durch einen externen Ansprechpartner, an den sich Ihre Mitarbeiter wenden können, wenn sie nicht mehr weiterwissen. Diese TISAX®-Beratung gibt Ihrem Team eine grobe Struktur und Etappenziele bzw. Milestones im Rahmen des Projektmanagements vor, hilft bei Prozessanalysen, kennt sich mit aktuellen Richtlinien aus und hilft bei der Suche nach einem Prüfdienstleister.
Hatten Sie bei der ersten TISAX®-Zertifizierung bereits eine externe TISAX®-Beratung und waren mit ihr zufrieden, dann wenden Sie sich am besten wieder an diese. Ansonsten gibt es zahlreiche Anbieter, aus denen Sie wählen können. Unser Tipp: Neben der fachlichen Kompetenz sollte auch die menschliche Komponente eine Rolle spielen.

Grundsätzlich müssen Sie die Rezertifizierung so handhaben, als wäre TISAX® ein völlig neues Thema für Ihr Unternehmen.  Wurde Ihr Informationssicherheitsmanagementsystems zumindest rudimentär gepflegt, so macht das einiges einfacher. In zeitlicher Hinsicht bleibt der Aufwand aber dennoch groß. Lassen Sie also nicht unnötig Zeit verstreichen, sondern gehen Sie das Thema an.