Integriertes Managementsystem aufbauen: Vom ISO-Flickenteppich zur einheitlichen Compliance-Architektur

Ein integriertes Managementsystem, kurz IMS, fasst mehrere normbasierte Managementsysteme in einer gemeinsamen Architektur zusammen. Die Grundlage bildet die High Level Structure nach Anhang SL der ISO/IEC Directives, Part 1, die seit 2026 für alle relevanten ISO-Managementsystemnormen eine identische Kapitelstruktur, identische Begriffe und identische Kernanforderungen vorgibt. Damit lassen sich ISO 9001:2015 (Qualität), ISO 14001:2015 (Umwelt), ISO 45001:2018 (Arbeitsschutz) und ISO/IEC 27001:2022 (Informationssicherheit) ohne Redundanzen verzahnen. Auch ISO 50001 (Energie) und ISO 22301 (Business Continuity) lassen sich problemlos angliedern. Wer drei oder mehr Normen führt, spart in der Praxis 30 bis 50 Prozent Audit-Aufwand pro Jahr.

Der Aufbau eines IMS ist kein Software-Projekt und kein Dokumentations-Marathon. Er ist eine strukturierte Reorganisation von Verantwortung, Risiko und Nachweis. Dieser Leitfaden beschreibt sieben Aufbauschritte, die typische Reihenfolge der Norm-Integration, die Pflicht-Dokumente nach Anhang SL und die Werkzeuge, die das Tagesgeschäft tragen. Wer den Weg in eigener Verantwortung gehen will, findet konkrete Hinweise und Etappen. Wer einen Plattformansatz mit der CIVAC Compliance-Plattform und Officer-as-a-Service bevorzugt, sieht in den folgenden Abschnitten, wo Lizenzmodell und externer Beauftragter den Aufbau beschleunigen und welche standardisierten Artefakte CIVAC out of the box mitliefert.

Ein IMS ist kein zusätzliches Managementsystem, sondern eine gemeinsame Klammer um bestehende Systeme. Es nutzt die identische Kapitelstruktur der Norm-Anforderungen nach Anhang SL und legt eine gemeinsame Dokumentation, einen gemeinsamen Auditplan und ein gemeinsames Management-Review darüber. Der Begriff ist nicht normiert; es gibt keine ISO-Norm namens IMS, sondern nur die Integrationsklammer um die einzelnen normierten Systeme. Wer also ein IMS aufbaut, zertifiziert nicht das IMS selbst, sondern die einzelnen Normen, idealerweise in einem gemeinsamen Audit mit einer einzigen akkreditierten Zertifizierungsstelle.

Die typische Verwechslung ist die Gleichsetzung von IMS mit einem Dokumentenmanagementsystem. Ein DMS ist Teil des IMS, aber nicht das IMS selbst. Ein IMS umfasst Verantwortlichkeiten, Risikoinventar, Kontextanalyse nach Kapitel 4 der Normen, Stakeholderlisten, Zieldefinition, operative Steuerung, Bewertung der Leistung und kontinuierliche Verbesserung. Diese Bausteine sind in jeder ISO-Managementsystemnorm enthalten und werden im IMS einmal definiert statt mehrfach geführt. Wer das Verständnis dieses Unterschieds nicht intern verankert, baut am Ende ein dokumentengeprägtes Compliance-Theater statt einer gelebten Organisation.

Der Mehrwert wird sichtbar, sobald drei oder mehr Normen geführt werden. Ein klassischer Industriebetrieb mit ISO 9001, 14001 und 45001 spart durch Integration etwa 30 bis 50 Prozent Audit-Aufwand, weil interne Audits, Management-Review, Schulungen und Risikoanalyse zusammengelegt werden. Wer zusätzlich ISO/IEC 27001:2022 einführt, profitiert besonders, weil dort die 93 Controls aus Anhang A in den gemeinsamen Risikomanagement-Prozess einfließen. Ein IMS ist damit weniger ein Sparprogramm als eine Konsolidierung der Compliance-Architektur, die typischerweise nach drei bis fünf Jahren ungesteuerten Wachstums fällig wird, sobald die Anzahl der parallel geführten Excel-Listen und SharePoint-Bibliotheken jede sinnvolle Pflege übersteigt.

Die High Level Structure nach Anhang SL der ISO/IEC Directives wurde 2012 eingeführt und ist seit 2015 in allen revisionierten Managementsystemnormen verbindlich. Sie definiert zehn Kapitel: Anwendungsbereich, normative Verweise, Begriffe, Kontext der Organisation, Führung, Planung, Unterstützung, Betrieb, Bewertung der Leistung sowie Verbesserung. In jedem dieser Kapitel finden sich identische oder nahezu identische Unterabschnitte, etwa zur Kontextanalyse, zu interessierten Parteien, zur Risiko- und Chancenbewertung sowie zum internen Audit. Diese strukturelle Identität ist das Fundament jeder IMS-Integration und kein nachgeschalteter Kunstgriff.

Damit ist die Integration mehr als ein organisatorischer Wunsch: Sie ist technisch durch identische Anforderungstexte vorbereitet. Wer einmal ein Verzeichnis interessierter Parteien nach Kapitel 4.2 erstellt, kann es für alle Normen verwenden, sofern jede relevante Anspruchsgruppe pro Norm gekennzeichnet ist. Gleiches gilt für die Risiko-und-Chancen-Analyse nach Kapitel 6.1, für die dokumentierten Informationen nach Kapitel 7.5 sowie für das interne Audit nach Kapitel 9.2. Die normspezifischen Eigenheiten konzentrieren sich auf Kapitel 8 (Betrieb), wo Produktrealisierung, Umweltaspekte, Gefährdungsbeurteilung oder Informationssicherheitskontrollen jeweils eigene Anforderungen mitbringen.

Der praktische Aufbau folgt damit nicht der Reihenfolge der einzelnen Normen, sondern der Reihenfolge der zehn Kapitel. Erst wird der gemeinsame Rahmen definiert (Kapitel 4 bis 5), dann die gemeinsamen Planungs- und Unterstützungsmechanismen (Kapitel 6 und 7). Anschließend werden in Kapitel 8 die normspezifischen Betriebsanforderungen abgebildet, etwa Lenkung der Produktion nach ISO 9001:8.5 oder Risikobehandlungsplan nach ISO 27001:6.1.3. Schließlich folgen Bewertung und Verbesserung in den Kapiteln 9 und 10. Diese vertikale Bearbeitungsreihenfolge nach HLS-Kapiteln statt horizontal nach Normen ist der wichtigste Effizienzhebel beim IMS-Aufbau und reduziert die Dokumentenanzahl im typischen Mittelstand von 200 bis 300 auf 80 bis 120. Damit wird die Pflege im Folgejahr erst wirtschaftlich tragfähig.

Die empfohlene Aufbaureihenfolge orientiert sich nicht an dem zuerst entstandenen System, sondern an der jeweils niedrigsten Hürde zum nächsten. In der Praxis hat sich folgende Sequenz bewährt: erst ISO 9001:2015 als Basis, weil sie Prozessdenken und Dokumentenlenkung etabliert. Dann ISO 14001:2015, weil sie Umwelt- und Stoffströme einbindet und das Risikodenken über das eigene Unternehmen hinaus erweitert. Drittens ISO 45001:2018, weil sie Beteiligung der Beschäftigten und Gefährdungsbeurteilung formalisiert. Diese drei Normen teilen einen ähnlichen Reifegrad und können in zwei Schritten je etwa sechs Monaten aufgebaut werden, sofern bereits ein Grundverständnis von Prozessmanagement vorhanden ist.

Erst nach diesen drei Basissystemen empfiehlt sich der Schritt zu ISO/IEC 27001:2022. Die Informationssicherheitsnorm setzt ein höheres Reifegradlevel im Risikodenken voraus, weil Risiken nicht nur identifiziert, sondern gemäß Anhang A mit 93 Controls behandelt werden müssen. Wer das Risiko-Vokabular schon aus 9001 und 45001 kennt, hat hier einen messbaren Startvorteil. Auch der ISO 27001:2022-Übergang bis Oktober 2026 lässt sich in einem IMS-Rahmen wesentlich kontrollierter abbilden, weil Anhang-A-Controls in die gemeinsame Risikomatrix einfließen und nicht parallel in einer separaten Tabelle gepflegt werden müssen.

Für regulierte Branchen kommen Spezialnormen hinzu: ISO 13485 für Medizinprodukte, IATF 16949 für Automotive, EN 9100 für Aerospace oder ISO 22000 für Lebensmittelsicherheit. Diese Normen folgen teilweise nicht der reinen HLS, lassen sich aber an die HLS-Kapitel anhängen und über Mapping-Tabellen integrieren. ISO 50001:2018 (Energie) und ISO 22301:2019 (Business Continuity) sind reine HLS-Normen und integrieren sich problemlos in das bestehende IMS-Gerüst. Wer mehr als drei Normen plant, sollte den Aufbau auf zwölf bis 18 Monate strecken, weil sonst die Organisation überfordert wird und das IMS am Ende nur auf Papier existiert. Ein realistischer Phasenplan ist die Voraussetzung für eine spätere gemeinsame Zertifizierung in einem kombinierten Audit mit einer einzigen Zertifizierungsstelle, die in der Regel auch nur eine einzige Auditreise vor Ort verursacht.

Der Aufbau eines IMS lässt sich in sieben aufeinander aufbauende Schritte gliedern. Schritt eins ist die Kontextanalyse nach Kapitel 4 der HLS: Welche internen und externen Themen beeinflussen das Unternehmen, welche interessierten Parteien stellen welche Anforderungen, und welcher Anwendungsbereich wird festgelegt? Schritt zwei ist die Führungs- und Verantwortungsmatrix nach Kapitel 5: Wer ist Top-Management, wer trägt Norm-spezifische Verantwortung, wer ist Beauftragter pro Norm, und wer hält die Berichtslinie zur Geschäftsleitung. Diese Klärung ist die Voraussetzung für alle weiteren Schritte und sollte schriftlich von der Geschäftsführung abgezeichnet werden.

Schritt drei ist die gemeinsame Risiko- und Chancenanalyse nach Kapitel 6.1, ergänzt um Zieldefinition nach 6.2 und Änderungsplanung nach 6.3. Schritt vier ist die Unterstützungs-Infrastruktur nach Kapitel 7: Ressourcen, Kompetenz, Bewusstsein, Kommunikation und dokumentierte Informationen. Hier wird das gemeinsame Dokumentenmanagement aufgesetzt, das den späteren Aufwand stark mitbestimmt. Schritt fünf ist die normspezifische Betriebssteuerung nach Kapitel 8, in der die Unterschiede zwischen Qualität, Umwelt, Arbeitsschutz und Informationssicherheit erstmals sichtbar werden und wo die meiste fachliche Detailarbeit anfällt.

Schritt sechs ist die Bewertung der Leistung nach Kapitel 9: gemeinsames Monitoring, gemeinsames internes Audit nach 9.2 und gemeinsames Management-Review nach 9.3, in dem alle Normen in einer Sitzung pro Halbjahr oder Jahr betrachtet werden. Schritt sieben ist die kontinuierliche Verbesserung nach Kapitel 10 mit Maßnahmenmanagement, Korrekturmaßnahmen und Lessons Learned. Diese sieben Schritte ergeben in der Regel ein 80- bis 120-Dokumente-Set, das mit einer Plattform wie CIVAC und 490 vorbereiteten Audit-Vorlagen in zwölf bis 18 Monaten aufgebaut wird. Ohne Plattform und Vorlagen verlängert sich der Aufbau erfahrungsgemäß auf 24 bis 36 Monate, bei deutlich höherem internen Koordinationsaufwand, mehr Inkonsistenzen und höheren Folgekosten in den Überwachungsaudits ab Jahr zwei.

Die HLS verlangt dokumentierte Informationen nach Kapitel 7.5, lässt aber bewusst offen, welche Form sie haben. Pflicht sind Anwendungsbereich, Politik, Ziele, Risiken und Chancen, Auditprogramm, Management-Review-Ergebnisse, Nachweise zur Kompetenz, Aufzeichnungen zur Konformität sowie Maßnahmen zur Verbesserung. Wer diese neun Kategorien zentral, versioniert und such-fähig führt, hat den Auditpfad. Wer sie in Outlook-Postfächern, persönlichen Laufwerken und unkontrollierten SharePoint-Bibliotheken hält, scheitert bereits in der ersten internen Stichprobe und liefert dem externen Auditor zugleich eine lange Liste von Nebenfeststellungen.

Kennzahlen sind der zweite zentrale Hebel. Pro Norm sollten mindestens drei messbare Indikatoren existieren: für ISO 9001 etwa Reklamationsquote, First-Pass-Yield und Lieferantenqualität; für ISO 14001 Energieverbrauch pro Produkteinheit, Abfallquote und Genehmigungslage; für ISO 45001 Unfallrate, Beinahe-Unfälle und Schulungsdurchdringung; für ISO 27001:2022 Vorfallrate, Verfügbarkeit kritischer Systeme und Anzahl behandelter Anhang-A-Risiken. Diese Indikatoren werden im IMS in einem gemeinsamen Cockpit konsolidiert, das die Geschäftsführung monatlich oder mindestens quartalsweise vorgelegt bekommt. Trendlinien über zwölf Monate sind im Audit deutlich aussagekräftiger als Stichtagswerte.

Der Auditpfad besteht aus drei Komponenten: erstens dem Auditprogramm mit Terminen, Auditoren und Bereich; zweitens den Auditberichten mit Feststellungen und Korrekturmaßnahmen; drittens dem Nachweis der Wirksamkeit der Maßnahmen. Wer diese drei Komponenten in einem Workspace führt, kann jeder Aufsichtsbehörde, jedem Zertifizierer und jeder Geschäftsleitung den Stand binnen einer Stunde vorlegen. Der Prüfer ruft an, der Nachweis liegt bereit. CIVAC stellt diesen Auditpfad standardmäßig zur Verfügung, mit 490 Audit-Vorlagen und einer Berichtslinie, die ohne weiteres Customizing tragfähig ist. Damit reduziert sich die Vorbereitungszeit auf ein gemeinsames Audit von typischerweise sechs auf zwei Wochen und der Stress der Wochen vor dem Audittermin auf ein Minimum, weil alle Artefakte bereits in ihrer aktuellen Version vorliegen.

Ein IMS löst die Frage der Beauftragtenstruktur nicht von selbst. Es zwingt aber dazu, die Verantwortung pro Norm sauber zu definieren. Die typische Aufstellung im Mittelstand umfasst einen Qualitätsmanagementbeauftragten (QMB), einen Umweltbeauftragten, eine Fachkraft für Arbeitssicherheit (SiFa), einen Informationssicherheitsbeauftragten (ISB) und je nach Branche einen Brandschutzbeauftragten, einen Gefahrstoffbeauftragten oder einen Abfallbeauftragten. Jede dieser Rollen hat einen eigenen gesetzlichen oder normativen Hintergrund, der nicht im IMS aufgehen darf. Die SiFa beispielsweise ergibt sich aus dem ASiG, der Brandschutzbeauftragte aus der ASR A2.2, der Gefahrstoffbeauftragte aus der TRGS 526.

Die Integration besteht darin, dass alle Beauftragten in eine gemeinsame Berichtslinie an die Geschäftsführung münden und in einem gemeinsamen Management-Review erscheinen. Operativ arbeiten sie weiter in ihren Fachbereichen, dokumentieren aber in einem zentralen Workspace. Damit wird Doppelarbeit reduziert und die Geschäftsführung erhält ein konsolidiertes Bild statt fünf getrennter Berichte. Eine sinnvolle Praxis ist die Einführung eines IMS-Koordinators, der die Synchronisation der Beauftragten organisiert, ohne deren fachliche Verantwortung zu übernehmen. Diese Rolle ist nicht normiert, aber in der Praxis erfolgskritisch und kann durchaus von einer Stabsstelle der Geschäftsführung übernommen werden.

Bei Personalknappheit lässt sich ein Teil der Beauftragtenrollen extern besetzen. CIVAC bietet 25 Beauftragtenrollen als Officer-as-a-Service, von ISB und QMB über GSB und BSB bis zur SiFa. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Diese duale Möglichkeit ist besonders sinnvoll, wenn ein Unternehmen drei oder mehr Normen führen will, aber nicht für jede Rolle eine eigene Stelle schaffen kann. Mehr Details zu den einzelnen Rollen finden sich auf den Rolle-Übersichtsseiten von CIVAC. Die Berichtslinie bleibt unabhängig vom Lizenzmodell unverändert, ebenso der Auditpfad und die Dokumentationsstruktur. Damit wird ein späterer Wechsel der Besetzung organisatorisch möglich, ohne den Aufbau zu gefährden.

Die ISO/IEC 27001:2022 ist die letzte Norm, die in vielen Häusern noch separat geführt wird. Sie hat mit der Revision von 2022 die Anzahl der Controls in Anhang A von 114 auf 93 reduziert und in vier Themenfeldern (organisatorisch, personell, physisch, technisch) neu gruppiert. Der Übergang von 27001:2013 auf 27001:2022 ist bis Oktober 2026 verbindlich, was viele Häuser zwingt, parallel zur Re-Zertifizierung über die Integration in ein IMS nachzudenken. Die Gelegenheit ist günstig, weil die HLS-Struktur ohnehin überarbeitet werden muss und das Statement of Applicability auf die neuen 93 Controls umzustellen ist.

Die Integration der 93 Controls in das gemeinsame Risikomanagement ist der mit Abstand wichtigste Schritt. Statt einer separaten 27001-Risikomatrix wird die bestehende IMS-Risikomatrix erweitert. Jeder Risiken-Eintrag bekommt eine Spalte mit den anwendbaren Anhang-A-Controls. Der Statement of Applicability bleibt als separates Dokument bestehen, weil er ein 27001-spezifisches Pflichtartefakt ist. Die Wirksamkeitsbewertung der Controls fließt aber in das gemeinsame Management-Review ein, sodass die Geschäftsführung Informationssicherheit im selben Atemzug wie Qualität, Umwelt und Arbeitsschutz bewertet. Damit wird Informationssicherheit zur Führungsaufgabe statt zur IT-internen Spezialdisziplin.

Der NIS-2-Hintergrund verstärkt diesen Trend. Viele Unternehmen sind nun nach dem deutschen NIS-2-Umsetzungsgesetz von etwa 29.500 Betroffenen verpflichtet, ein ISMS aufzubauen, das funktional einer 27001-Architektur entspricht. Wer NIS-2-Pflicht hat, kommt um ein ISMS nicht herum, und wer ein ISMS aufbaut, sollte es in das IMS integrieren. CIVAC bietet hierfür einen vorkonfigurierten Workspace mit dem 24-Stunden-Frühwarnung- und 72-Stunden-Folgemeldepfad nach NIS-2 sowie der vollständigen Mapping-Tabelle zwischen Anhang A der 27001:2022, den NIS-2-Pflichten und den HLS-Kapiteln. Diese Mapping-Tabelle ist im klassischen Excel-Workflow erfahrungsgemäß eine der größten Aufwandsquellen und entfällt bei einer plattformgestützten Lösung. Bußgelder bei NIS-2 wesentlich reichen nach § 60 BSIG bis 10 Mio. Euro oder 2 Prozent des Konzernumsatzes, was den Integrationsdruck zusätzlich erhöht.

Drei Fehler treten beim IMS-Aufbau besonders häufig auf. Erstens: zu früher Start mit Software statt mit Architektur. Wer eine IMS-Software einkauft, bevor die Kontextanalyse, die Verantwortungsmatrix und der Risikoansatz definiert sind, landet bei einer leeren Hülle. Software unterstützt einen reifen IMS-Aufbau, ersetzt ihn aber nicht. Sinnvoll ist die Reihenfolge: erst Architektur klären, dann Vorlagen wählen, dann Plattform einsetzen, dann normative Detailkonformität herstellen. Wer diese Reihenfolge umdreht, zahlt zweimal: einmal für die Software und einmal für die Beratung, die sie sinnvoll nutzbar macht.

Zweitens: zu viele Normen gleichzeitig. Wer ISO 9001, 14001, 45001 und 27001:2022 parallel innerhalb von zwölf Monaten einführt, riskiert eine Überlastung der Linienorganisation. Die Norm wird formal eingehalten, aber inhaltlich nicht gelebt. Die Folge sind im ersten Überwachungsaudit zahlreiche Nebenfeststellungen und in den Folgejahren ein Erosionseffekt, weil die Organisation die Dokumentation nicht pflegt. Eine realistische Reihenfolge mit drei bis sechs Monaten Abstand zwischen den Normen erspart erhebliche Kosten und schützt davor, dass das IMS nach 18 Monaten als gescheitert eingestuft wird und ein zweiter Anlauf mit doppeltem Budget folgt.

Drittens: Trennung von IMS und operativer Arbeit. Ein IMS, das nur im Audit verwendet wird, ist tot. Lebendig wird es erst, wenn die Dokumentenlenkung, die Risikoanalyse und das Maßnahmenmanagement in den Arbeitsalltag eingebettet sind. Das gelingt, wenn die Plattform die Aufgaben dort anzeigt, wo die Mitarbeitenden arbeiten, etwa als Aufgabe im Workspace, als Erinnerung an die Schulung oder als Eskalation bei verspätetem Vorfall. CIVAC bildet diesen operativen Bezug ab, indem Audit-Vorlagen, Berichtslinie und Eskalationspfad in einem System liegen. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Der Unterschied ist im dritten Jahr nach Zertifizierung spürbar, weil die Organisation das System aktiv nutzt statt nur zu pflegen, und weil Mitarbeitende die Plattform als Hilfe und nicht als Last empfinden.

Ein IMS-Projekt beginnt mit drei Klärungen. Erstens: Welche Normen führen Sie heute, welche planen Sie in den nächsten 24 Monaten? Zweitens: Welche Beauftragtenrollen existieren, und welche sind unbesetzt oder doppelt besetzt? Drittens: Welche Dokumentation ist heute auditfest, und welche besteht aus Excel-Tabellen, E-Mail-Ordnern oder gewachsenen SharePoint-Strukturen? Aus diesen drei Klärungen ergibt sich der Aufwand, die Reihenfolge und das passende Lizenzmodell. Eine ehrliche Bestandsaufnahme dauert in der Regel zwei Wochen und ist die Voraussetzung für einen belastbaren Phasenplan und ein realistisches Budget.

CIVAC begleitet IMS-Aufbauten in zwei Varianten. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Im ersten Modell erhalten Ihre Beauftragten Zugang zur Plattform mit 490 einsatzbereiten Audit-Vorlagen, der HLS-konformen Dokumentenstruktur, einer Risiko- und Chancenmatrix sowie der konsolidierten Management-Review-Vorlage. Im zweiten Modell stellt CIVAC neben der Plattform externe Beauftragte für einzelne Normen, etwa einen externen ISB oder QMB. Beide Modelle nutzen EU-Datenresidenz und lassen sich kombinieren, sodass interne und externe Verantwortung in einem Auditpfad zusammenlaufen und die Berichtslinie unabhängig vom Lizenzmodell unverändert bleibt.

Aus dem Lesen einen Auftrag machen. Senden Sie eine kurze Mail an info@civac.de mit den Normen, die Sie heute führen, der Anzahl Mitarbeitender und einem Termin für ein 30-Minuten-Gespräch. Sie erhalten binnen zwei Werktagen einen Vorschlag mit Reihenfolge, Aufwand und Lizenzmodell. Wer vorher mehr lesen will, findet auf den CIVAC Facts die wichtigsten Kennzahlen zu Plattform, Vorlagen und SLA, und im FAQ-Bereich Antworten zu typischen Einführungsfragen. Ein integriertes Managementsystem ist kein Selbstzweck, sondern eine Investition in Audit-Festigkeit, Geschwindigkeit der Geschäftsleitung und Reduktion redundanter Arbeit. Bestellurkunde, unterschrieben, abgelegt, belegbar, ist nur der Anfang einer Compliance-Architektur, die im Tagesgeschäft nicht stört und im Audit trägt.