Gluu

So richten Sie die Ereignisberichterstattung ein (1/2)

Blog / QMS

Wie Sie die Berichterstattung über Vorfälle einrichten, um IT- und HSE-Risiken zu verringern

Tor Christensen
By
Last updated on 19/10/2023

Geschätzte Lesezeit: 7 Minuten

Unfälle passieren so gut wie nie ohne Vorwarnung. Jeder hat schon einmal einen Beinahe-Unfall versucht: Du bist fast auf dein Fahrrad gefallen und bist gegen den Bordstein geprallt – aber zum Glück hast du es nicht getan. Du seufzt erleichtert auf, lernst daraus und gehst weiter. In einem Unternehmen gilt die gleiche Logik. In diesem Fall kann Ihr Unternehmen durch die Meldung von Vorfällen lernen und möglicherweise zukünftige Unfälle verhindern.

„Schätzungen zeigen, dass in Ländern mit hohem Einkommen bis zu einem von zehn Patienten während der Krankenhausbehandlung einen Schaden erleidet. Der Schaden kann durch eine Reihe von unerwünschten Ereignissen verursacht werden, von denen fast 50 % als vermeidbar gelten.“

WER

In diesem Beitrag gebe ich Ihnen eine Einführung in die Meldung von Vorfällen, die der erste Schritt zum Vorfallsmanagement ist. Sie erfahren auch, wie Sie wertvolle Lektionen von Ihren Kollegen gewinnen können.

Auf unserem Weg werden wir uns von der Meldung von Vorfällen in den Normen zu diesem Bereich inspirieren lassen: Gesundheit, Sicherheit und Umwelt (ISO 45001-Standard) und Informationssicherheit (ISO 27002-Standard).

Was ist der Unterschied zwischen Vorfällen, Nichtkonformitäten und Abweichungen?

Einige beziehen sich auf Vorfälle und andere auf Abweichungen. Lassen Sie uns schnell den Fachjargon klären. In den ISO-Normen und der Prozessliteratur finden Sie die folgenden Definitionen:

  1. Nicht-Konformität: Die Nichterfüllung einer Anforderung.
  2. Abweichung: Abweichung von einer genehmigten Anweisung oder einem Standard.
  3. Vorfall: Ein unerwartetes operatives Ereignis außerhalb des Standardbetriebs.
  4. Nicht-Konformität: Ein Mangel in der Eigenschaft eines Produkts, der es inakzeptabel macht oder nicht den festgelegten Anforderungen entspricht.

Diese Definitionen umfassen zwei Hauptmerkmale:

  1. Ungeplante Ereignisse treten auf.
  2. Geplante Ereignisse finden nicht statt.

Die Nichtkonformität konzentriert sich in diesem Zusammenhang in erster Linie auf die Auswirkungen des Produkts auf die Qualität und nicht auf seine Ursache. Neben produktbezogenen Problemen umfassen unerwünschte Ereignisse auch Beinaheunfälle, Schäden, Unfälle, Probleme mit der Einhaltung von Vorschriften und verpasste Chancen.

Im Gesundheitswesen sind Zwischenfälle (oft als “unerwünschte Ereignisse” bezeichnet) kostspielig, schädlich und bis zu einem gewissen Grad vermeidbar. Obwohl sich alle über die Notwendigkeit der Unfallverhütung einig sind, behindern mehrere Faktoren eine effiziente Meldung von Unfällen.

Im Folgenden gehen wir auf drei Hauptgründe für die Herausforderungen bei der Meldung von Vorfällen ein.

Drei Gründe, warum die Berichterstattung über Vorfälle scheitert

#1 in einer Kultur der Perfektion gibt es keinen Raum für Fehler

Wer will der Idiot sein, der zugibt, dass es einen Vorfall gab?

Persönliche Schuldzuweisungen bei Vorfällen verringern den Anreiz zur Meldung.
“Was hast Du getan?!?”

In einer ‘Schuldkultur’ will niemand zugeben, dass er einen Fehler gemacht hat.
Wenn der Vorfall niemanden direkt betraf – warum sollte man ihn melden und in einem negativen Licht hervortreten?

Denken Sie daran: Wenn Sie ein System zur Meldung von Vorfällen einrichten, muss das Unternehmen eine Kultur der Offenheit und des Vertrauens fördern. Vorfälle müssen als Gelegenheiten für organisationales Lernen gesehen werden und nicht als individuelles Versagen.

Die IT kann helfen, indem sie die Anonymität sicherstellt und potenzielle Strafen für den Berichterstatter beseitigt. Dies widerspricht jedoch dem Ziel, eine Kultur der Offenheit zu schaffen, in der alle auf ein gemeinsames Ziel der systematischen Verbesserung hinarbeiten.

Das Management muss diesen Kulturwandel vorantreiben und das Innovations- und Verbesserungspotenzial von Incidents nutzen. Lesen Sie dazu den Harvard Business Review auf „Der fehlertolerante Führer“ .

Fehler sind schließlich besser als sich wiederholende Fehler.

#2 es zu schwierig ist, einen Vorfall zu melden

Wenn das Melden eines Vorfalls zu mühsam ist, besteht eine gute Chance, dass er überhaupt nicht gemeldet wird. Jeder, der Vorfallanalysen durchführt, möchte mehr Daten, aber denken Sie daran, dass Mitarbeiter an vorderster Front fleißige Bienen sind. Wenn der Vorfall nicht kurz nach der Veranstaltung gemeldet wird, gehen die Mitarbeiter zur nächsten Aufgabe auf ihrer Todo-Liste über.

„Bürokratie ist die Kunst, das Mögliche unmöglich zu machen“

Jemand desillusioniert

Um die benötigten Daten zu erhalten, ist es wichtig, ein Gleichgewicht zwischen dem Erhalten von genügend Daten, um den Vorfall zu verstehen, und der Gestaltung des Prozesses so gering wie möglich zu halten, um sicherzustellen, dass er abgeschlossen wird.

Benutzerfreundlichkeit für alle ist entscheidend, um überhaupt Daten zu erhalten.

#3 Meldung von Vorfällen erhält keine Antwort

Bei allen Bemühungen ist es wichtig zu sehen, dass Ihre Eingabe wichtig ist. Wenn das Gefühl besteht, dass das Management die gemeldeten Vorfälle einfach ignoriert, besteht die Möglichkeit, dass zukünftige Vorfälle nicht gemeldet werden.

„Danke“ für den Bericht zu sagen und zu benachrichtigen, wenn er bearbeitet (oder sogar umgesetzt) wird, ist eine einfache, effektive und kostengünstige Möglichkeit, Wertschätzung zu zeigen. Dankbarkeit muss nicht unbedingt monetär sein, insbesondere wenn Ereignismeldungen dem gesamten Unternehmen helfen.

Nochmals – ohne Meldung von Vorfällen durch Mitarbeiter gibt es keine Daten, um zukünftige Unfälle zu vermeiden. Behalten Sie also diese kulturellen Faktoren im Hinterkopf.

Zwei Hauptarten von Vorfällen, die zu melden sind

Zur Vorbereitung auf eine ordnungsgemäße Meldung von Vorfällen müssen wir diese in zwei sehr unterschiedliche Arten von Vorfällen einteilen, die in jeder Organisation auftreten können. Jeder wird durch seinen eigenen ISO-Standard abgedeckt:

ISO 45001: Vorfälle im Bereich Gesundheit, Sicherheit und Umwelt (HSE)

Ein Ereignis, das keinen Schaden verursacht, aber unter ähnlichen Bedingungen zu Verletzungen, Verlust von Eigentum oder Material oder Unfällen führen kann. Zum Beispiel keinen Helm auf einer Baustelle zu tragen. An sich spielt das keine Rolle, aber aufgrund der gefährlichen Umgebung ist der Schutz der Schlüssel, um Unfälle zu vermeiden.

Cloud-Download-Symbol

ISO 27001: IT-Vorfälle im Bereich Cybersicherheit

Im Gegensatz zu einer tatsächlichen Datenschutzverletzung bedeutet ein Cyber-Sicherheitsvorfall nicht unbedingt, dass Informationen kompromittiert werden; es bedeutet nur, dass Informationen bedroht sind. Beispielsweise hat eine Organisation, die einen Cyberangriff erfolgreich abwehrt, einen Vorfall, aber keinen Verstoß erlebt.

Cloud-Download-Symbol

Die drei Schritte zur Meldung eines Vorfalls

#1 Verhindern Sie, dass der Vorfall zu einem Unfall wird

Die erste Aktivität sollte immer darin bestehen, (wenn möglich) etwas Schlimmes zu stoppen. Lassen Sie mich Ihnen einige Beispiele geben.

Was ist zu beachten HSE-Vorfälle ?

verhindern, dass Vorfälle zu einem Unfall werden
Bitte verhindern Sie, dass der Vorfall zu einem Unfall wird

Gesundheits- und Sicherheitsvorfälle erfordern in der Regel physische Eingriffe:

  • Stecker halb raus?
    – wieder einlegen.
  • Maschine außer Kontrolle?
    – schalte es aus.
  • Seife auf dem Schiffsdeck?
    – mach es sauber.

Bitte denken Sie daran, dass Sie sich dabei selbst schützen müssen!

Sichern Sie den Tatort, indem Sie den Bereich nach Möglichkeit absperren und verhindern Sie jeden weiteren Zutritt, um Ihre Kollegen vor Schaden zu bewahren.

Was ist zu beachten IT-Vorfälle ?
Cyberkriminalität ist schwerer zu entdecken. Es gibt selten maskierte Leute, die den Serverraum durchsuchen. Intervention gibt es in vielen Formen – wenn sie überhaupt möglich ist.

Sie können möglicherweise verhindern, dass Phishing-E-Mails weitergeleitet werden (oder Warn-E-Mails an alle gesendet werden) und wenn Sie vermuten, dass jemand das Root-Passwort hat, ist es möglicherweise ein guter Zeitpunkt, es zu ändern.

#2 Sammeln Sie Informationen

Dokumentieren Sie die Details des Vorfalls sorgfältig. Fügen Sie Informationen wie das Datum, die Uhrzeit und den Ort des Vorfalls, die Namen der beteiligten Parteien und etwaige Zeugen hinzu. Machen Sie Fotos oder Videos, wenn es sicher ist.

#2 Melden Sie den Vorfall

Jetzt ist es an der Zeit, ein Formular auszufüllen und den formellen Prozess des Vorfallsmanagements zu starten. Dafür brauchen Sie das richtige Format. Ich behandle dies in einem separaten Artikel, der Ihnen hoffentlich nützlich sein wird: Verbesserung der Berichte über Vorfälle von Mitarbeitern für bessere Daten

Von der Meldung von Vorfällen zum Management von Vorfällen

Gehen wir davon aus, dass Sie jetzt über ein Berichtswesen für Zwischenfälle verfügen. Dann ist es an der Zeit, etwas mit den Berichten zu tun und tatsächlich daraus zu lernen und sich zu verändern. Dies ist die Spitze des ‘Incident Management’. Ich habe diesen Artikel als Einführung in dieses Thema geschrieben Warum jedes Unternehmen ein Incident Management System braucht

Abschließend gebe ich Ihnen eine Schritt-für-Schritt-Anleitung, wie Sie mit der Prozessmanagement-Plattform Gluu einen Prozess zur Meldung von Vorfällen erstellen können.

Basierend auf den Erkenntnissen aus den Normen ISO 27002 und ISO 45001 werden wir in Gluu einen Prozess zur Meldung von Vorfällen erstellen.

Wie es einer der Väter der modernen Fertigung einmal ausdrückte:

Schlussfolgerungen

Dieser Beitrag hebt die wichtige Rolle hervor, die die Berichterstattung über Vorfälle bei der Verhütung von Arbeitsunfällen und der Förderung des organisatorischen Lernens spielt. Er setzt Beinaheunfälle im Privatleben mit Vorfällen im Unternehmen in Beziehung und betont die Vorteile der Risikominderung durch Berichterstattung. Der Artikel gibt eine Einführung in die Berichterstattung über Vorfälle mit Verweisen auf ISO-Normen (ISO 45001 und ISO 27002) und erklärt Schlüsselbegriffe wie Nichtkonformität, Abweichung und Vorfall.

Sie zeigt drei häufige Probleme auf, die eine effektive Meldung von Vorfällen behindern:

Eine Kultur der Perfektion, die das Eingestehen von Fehlern erschwert.
Komplexe Berichtsverfahren.
Unzureichende Bestätigungen oder Antworten auf Berichte.

Es wird betont, dass ein offenes und vertrauensvolles Umfeld für die Berichterstattung geschaffen werden muss. Vorfälle werden in die Kategorien HSE und IT-Cybersicherheit eingeteilt, die jeweils sofortige Maßnahmen zur Vermeidung von Unfällen erfordern. Die drei Schritte der Berichterstattung – Unfallverhütung, Informationsbeschaffung und Berichterstattung – werden mit praktischen Anleitungen detailliert beschrieben.

Insgesamt unterstreicht der Artikel die Rolle der Berichterstattung über Vorfälle bei der Verbesserung der Sicherheit am Arbeitsplatz und des Risikomanagements und hebt die Komplexität und die Herausforderungen bei der Umsetzung hervor.

Artikel, die Ihnen gefallen könnten...