Integrierte Managementsysteme · Informationssicherheit · ESG · KI‑Governance · Automotive

Von parallelen Anforderungen zum integrierten Steuerungsmodell.

Dort ansetzen, wo Steuerung, Betrieb und Nachweisführung gleichzeitig gefordert sind. Sechs Leistungscluster, ein Einstieg über den konkreten Auslöser — Kundenanforderung, Zertifizierung, regulatorische Frist, Haftungsfrage, Lieferfähigkeit oder offene Verantwortungsrolle.

Mandatsbogen

Vier Phasen — von der Einordnung bis zur belastbaren Umsetzung.

Jedes Mandat folgt derselben Steuerungslogik — unabhängig davon, ob der Auslöser eine Kundenanforderung, eine Zertifizierung, eine regulatorische Frist oder eine Haftungsfrage ist.

1

Einordnen

Betroffenheit, Reifegrad und Handlungsdruck systematisch klären — als Grundlage für einen Fahrplan, der zur Ausgangslage passt, nicht zu einem Standardschema.

2

Priorisieren

Nicht alles ist gleich dringend. Was Haftung, Lieferfähigkeit oder Nachweisführung unmittelbar betrifft, wird zuerst adressiert — nachrangige Themen werden bewusst zurückgestellt.

3

Umsetzen

Prozesse, Rollen und Nachweise werden in bestehende Abläufe und Dokumentationen eingebettet. Schulung und Einbindung der Führungskräfte und Schlüsselpersonen sind Teil der Umsetzung — nicht nachgelagerter Zusatzaufwand.

4

Absichern

Nachweise werden geprüft, Dokumentation abgeschlossen, Steuerung an die verantwortlichen Personen im Unternehmen übergeben. Das Ziel: ein System, das nach Mandatsende eigenständig tragfähig bleibt.

Leistungscluster

Sechs Cluster — nach Steuerungsbedarf, nicht nach Normenliste.

Jeder Einstieg führt in dasselbe integrierte Steuerungsmodell. Der Unterschied liegt im Auslöser.

Integrierte Managementsysteme

ISO 9001 · ISO 14001 · ISO 45001 · ISO 27001 · ISO 42001 · IATF 16949 · DSGVO · CSRD/ESG

Aufbau, Weiterentwicklung und Zertifizierungsvorbereitung integrierter Managementsysteme — damit Qualität, Umwelt, Arbeitsschutz, Informationssicherheit, Datenschutz, Nachhaltigkeit und KI‑Governance in einer gemeinsamen Prozesslandschaft geführt werden, nicht in parallelen Regelwerken. Neue Anforderungen werden eingeordnet, nicht angebaut.

Ergebnis: eine Steuerungslogik, klare Verantwortlichkeiten, durchgängige Nachweisführung, reduzierter Abstimmungsaufwand und nachvollziehbare Risikominimierung für die Geschäftsführung.

Typische Auslöser: Mehrfachzertifizierung geplant, steigende regulatorische Anforderungen, parallele Systeme ohne gemeinsame Steuerung, wachsende Komplexität durch gleichzeitig wirkende Normen und Kundenanforderungen.

ISMS, NIS‑2 & Datenschutz

ISO 27001 · NIS‑2 (BSIG) · DSGVO

Aufbau und Weiterentwicklung eines Informationssicherheits-Managementsystems nach ISO 27001, Umsetzung der NIS‑2-Anforderungen nach BSIG und Integration des Datenschutzes nach DSGVO — operative Strukturen mit klaren Verantwortlichkeiten und belastbaren Nachweisen gegenüber BSI, Kunden und Versicherern.

Geschäftsführungen tragen nach § 38 BSIG persönliche Pflichten bei Umsetzung, Überwachung und Schulung. Ein ISMS, das in die bestehende Prozesslandschaft integriert ist, schafft Nachweisfähigkeit und reduziert das persönliche Haftungsrisiko.

Typische Auslöser: NIS‑2-Betroffenheit, Kundenanforderungen an Informationssicherheit, ISO 27001-Zertifizierung geplant, Datenschutz-Audit angekündigt, TISAX®-Anforderung aus der Lieferkette.

Landingpage: NIS‑2 & Geschäftsleiterhaftung

Automotive & IATF

IATF 16949 · VDA 6.3 · TISAX® · Automotive Core Tools (APQP, FMEA, MSA, SPC, PPAP)

Aufbau, Weiterentwicklung und Zertifizierungsvorbereitung nach IATF 16949, Prozessaudits nach VDA 6.3 und TISAX®-Umsetzung — Lieferfähigkeit gegenüber OEM und Tier‑1 belastbar absichern, Kundenprüfungen bestehen und Vertragsverlängerungen sichern.

Die Automotive Core Tools (APQP, FMEA, MSA, SPC, PPAP) werden nicht als Einzelmethoden geschult, sondern in die Ablauflogik des Managementsystems integriert — damit sie in der Praxis funktionieren und nicht nur in der Schulungsunterlage.

Typische Auslöser: OEM-Forderung nach IATF 16949, Kundenaudit angekündigt, TISAX®-Label für Vertragsverlängerung erforderlich, VDA 6.3-Prozessaudit vorbereiten, Watchlist-Status oder Liefersperrung droht.

Prozesse & Organisation

Lean · KVP · REFA · EFQM · Organisationsentwicklung

Die Lücke zwischen Handbuch und Shopfloor operativ schließen — damit Prozesse im Betrieb funktionieren, Strukturen zur Unternehmensgröße passen und Kundenanforderungen standhalten. Prozessgestaltung, Arbeitsorganisation und systematische Verbesserung auf Basis von Lean, KVP, REFA-Methodik und EFQM.

Organisationsentwicklung ist dabei kein Zusatzprojekt, sondern integraler Bestandteil — gerade in Phasen von Wachstum, Restrukturierung oder steigendem Kundendruck.

Typische Auslöser: Wiederkehrende Abweichungen in Prüfungen oder Kundenbewertungen, steigende Durchlaufzeiten, unklare Verantwortlichkeiten nach Wachstum, Prozesse existieren im Handbuch, aber nicht im Betrieb.

ESG & Nachhaltigkeit

CSRD · ESRS · LkSG · CSDDD · Omnibus-Richtlinie (EU) 2026/470

Aufbau belastbarer ESG-Nachweise und Reporting-Strukturen nach CSRD/ESRS — auch bei indirekter Betroffenheit über Lieferketten. Die Omnibus-Richtlinie (EU) 2026/470 hebt die direkte CSRD-Berichtspflicht auf Unternehmen mit mindestens 1.000 Beschäftigten und über 450 Mio. € Nettoumsatz an (kumulativ). Für kleinere Unternehmen entfällt damit die direkte Pflicht — die ESG-Datenanforderungen aus der Lieferkette bleiben jedoch wirksam.

Entscheidend ist: Auch ohne direkte Berichtspflicht verlangen Kunden, Banken und Versicherer zunehmend belastbare ESG-Daten. Ein integriertes Nachhaltigkeitsmanagement schafft die Grundlage, um diese Anforderungen ohne Parallelstrukturen zu erfüllen.

Typische Auslöser: Kunden-ESG-Fragebogen, Bankanforderungen für Kreditverlängerung, Lieferantenbewertung nach ESRS, Nachhaltigkeitsstrategie gefordert, Vorbereitung auf mögliche künftige Berichtspflicht.

KI‑Governance

U AI Act · ISO/IEC 42001

Aufbau eines KI-Managementsystems nach ISO/IEC 42001 — von der Risikobewertung bis zum KI‑Managementsystem mit dokumentierten Entscheidungswegen, klaren Verantwortlichkeiten und nachvollziehbaren Freigabeprozessen. Ab dem 2. August 2026 gelten die Pflichten für Hochrisiko-KI-Systeme nach dem EU AI Act (mit Ausnahmen und Staffelungen).

Die Verbindung zum bestehenden Managementsystem — insbesondere zu ISO 27001 (Informationssicherheit) und DSGVO (Datenschutz) — stellt sicher, dass KI-Governance kein isoliertes Projekt wird, sondern in die vorhandene Steuerungslogik integriert ist.

Typische Auslöser: KI-Einsatz im Unternehmen geplant oder bereits aktiv, Hochrisiko-Einstufung nach EU AI Act, Kunden oder Auftraggeber fordern dokumentierte KI-Governance, Vorbereitung auf ISO/IEC 42001-Zertifizierung.

Landingpage: EU AI Act & ISO 42001

Externe Beauftragtenrollen & Interim

QMB · UMB · DSB · ISB (inkl. TISAX®) · Nachhaltigkeitsbeauftragter · Interim-Management

Übernahme externer Beauftragtenrollen oder Interim-Mandate für Qualität, Umwelt, Informationssicherheit, Datenschutz und Nachhaltigkeit. Dr. Krömer übernimmt die operative Verantwortung mit direkter Berichtslinie an die Geschäftsführung — keine Delegation, kein nachgelagertes Briefing.

Externe Beauftragtenrollen eignen sich, wenn intern keine qualifizierte Besetzung verfügbar ist, ein Prüfungstermin ansteht oder eine Überbrückung bis zur internen Nachbesetzung benötigt wird. Interim-Mandate gehen darüber hinaus und umfassen die temporäre Übernahme einer Führungs- oder Steuerungsfunktion.

Typische Auslöser: Vakanz in einer Beauftragtenrolle, Zertifizierung oder Kundenaudit steht bevor, regulatorische Pflicht (z. B. DSB nach DSGVO, ISB nach NIS‑2), Überbrückung bei Personalwechsel, Bedarf an externer Steuerungskompetenz in Veränderungsphasen.

Praxisbeispiele

Sechs Mandate — mit konkreter Ausgangslage, Vorgehen und Ergebnis.

Jedes Praxisbeispiel zeigt einen typischen Mandatsverlauf — vom Auslöser über das Vorgehen bis zum messbaren Ergebnis. Die Darstellungen sind anonymisiert.

IMS-Aufbau · Fertigungsunternehmen

Integriertes Managementsystem für ein Fertigungsunternehmen

Ausgangslage: Mittelständisches Fertigungsunternehmen, ca. 400 Mitarbeiter. ISO 9001 vorhanden — zusätzlich ISO 14001, ISO 45001, DSGVO und Nachhaltigkeitsanforderungen zu integrieren.

Vorgehen: Gap-Analyse der bestehenden Strukturen. Aufbau einer gemeinsamen Prozesslandschaft mit integrierten Verantwortlichkeiten und Nachweisketten. Zertifizierungsvorbereitung für ISO 14001 und ISO 45001 parallel zur IMS-Integration.

Ergebnis: Ein integriertes Managementsystem mit durchgängiger Nachweisführung. Drei Zertifikate in einem System. Prüfaufwand um 30 % reduziert.

ISMS & NIS‑2 · IT-Dienstleister

ISMS-Aufbau und NIS‑2-Umsetzung für einen IT-Dienstleister

Ausgangslage: IT-Dienstleister, ca. 280 Mitarbeiter. Kein ISMS vorhanden, NIS‑2-Betroffenheit festgestellt. Großkunden fordern ISO 27001-Zertifizierung als Vertragsvoraussetzung.

Vorgehen: Betroffenheitsanalyse NIS‑2, Aufbau ISMS nach ISO 27001 mit integrierter DSGVO-Dokumentation. Risikobewertung, Maßnahmenplan und Schulung der Geschäftsführung nach § 38 BSIG.

Ergebnis: ISO 27001-Zertifizierung und NIS‑2-Registrierung innerhalb von 6 Monaten. Belastbare Nachweise gegenüber BSI und Kunden.

Automotive · Zulieferer (Tier 2)

IATF 16949-Zertifizierung und TISAX® für einen Automotive-Zulieferer

Ausgangslage: Automotive-Zulieferer (Tier 2), ca. 450 Mitarbeiter. ISO 9001 vorhanden. OEM fordert IATF 16949-Zertifizierung und ein TISAX®-Label als Voraussetzung für die Vertragsverlängerung.

Vorgehen: Gap-Analyse IATF 16949 und TISAX®. Integration der Automotive Core Tools in die bestehende Prozesslandschaft. Parallele TISAX®-Vorbereitung (Informationssicherheit). Interne Audits und Zertifizierungsvorbereitung.

Ergebnis: IATF 16949-Zertifizierung im ersten Anlauf. TISAX®-Label erhalten. Vertragsverlängerung gesichert.

ESG · Industriezulieferer

ESG-Nachweisführung für einen Industriezulieferer

Ausgangslage: Industriezulieferer, ca. 800 Mitarbeiter. Mehrere Großkunden verlangen ESG-Daten nach ESRS-Systematik für die Lieferantenbewertung. Die Bank fordert eine Nachhaltigkeitsstrategie als Voraussetzung für eine Kreditverlängerung.

Vorgehen: Wesentlichkeitsanalyse nach ESRS. Aufbau einer ESG-Datenstruktur, die sowohl Kundenanforderungen als auch Bankanforderungen bedient. Integration in das bestehende Managementsystem.

Ergebnis: Belastbare ESG-Nachweise für Lieferkette und Finanzierung. Kreditverlängerung gesichert. Nachhaltigkeitsmanagement als Teil des IMS verankert.

KI‑Governance · Produktionsunternehmen

KI-Managementsystem für ein Produktionsunternehmen

Ausgangslage: Produktionsunternehmen, ca. 350 Mitarbeiter. KI-gestützte Qualitätsprüfung und vorausschauende Wartung im Einsatz. Einstufung als Hochrisiko-KI-System nach EU AI Act absehbar. Kein dokumentiertes KI-Governance-Framework vorhanden.

Vorgehen: KI-Inventarisierung und Risikoklassifizierung. Aufbau eines KI-Managementsystems nach ISO/IEC 42001 mit dokumentierten Entscheidungswegen, Freigabeprozessen und Verantwortlichkeiten. Anbindung an bestehendes ISMS (ISO 27001) und DSGVO-Dokumentation.

Ergebnis: Dokumentiertes KI-Managementsystem mit nachvollziehbaren Entscheidungswegen. Vorbereitung auf EU AI Act-Pflichten abgeschlossen. Integration in bestehendes IMS ohne Parallelstruktur.

EU AI Act: Pflichten, Fristen und Umsetzung

Prozesse & Organisation · Maschinen- und Anlagenbau

Maschinen- und Anlagenbauer: Prozesse und Organisation nach Wachstumsphase neu ausgerichtet

Ausgangslage: Maschinen- und Anlagenbauer, ca. 650 Mitarbeiter. Das Unternehmen war in drei Jahren um über 40 % gewachsen — Auftragsvolumen und Belegschaft hatten sich schneller entwickelt als Prozesse und Strukturen. Durchlaufzeiten stiegen, Verantwortlichkeiten waren unklar, wiederkehrende Schnittstellenprobleme zwischen Arbeitsvorbereitung, Fertigung und Logistik führten zu Lieferverzögerungen und steigenden Reklamationen.

Vorgehen: Systematische Ist-Analyse der Kernprozesse — vom Auftragseingang über Arbeitsvorbereitung und Fertigung bis zur Auslieferung. Identifikation von Blindleistungen, doppelten Zuständigkeiten und fehlenden Steuerungsgrößen. Neugestaltung der Prozesslandschaft mit klaren Verantwortlichkeiten, definierten Schnittstellen und messbaren Steuerungsgrößen. Parallel: Anpassung der Organisationsstruktur an die gewachsene Unternehmensgröße. Schulung der Führungskräfte in Prozesssteuerung und KVP-Methodik.

Ergebnis: Durchlaufzeiten um 25 % reduziert. Schnittstellenbedingte Reklamationen um 40 % gesenkt. Klare Verantwortlichkeiten und Steuerungsgrößen für alle Kernprozesse dokumentiert und operativ verankert. Organisation auf die gewachsene Unternehmensgröße ausgerichtet — ohne zusätzliche Führungsebenen.

FAQ

Fragen vor der Zusammenarbeit

Wie ist die Zusammenarbeit strukturiert — und wer ist mein Ansprechpartner?

Jedes Mandat wird persönlich von Dr. Krömer geführt — von der Ersteinordnung über die operative Umsetzung bis zur Übergabe. Kein Junior-Team, keine Unterbeauftragung. Für Spezialfragen in Recht oder IT-Tiefe wird bei Bedarf ein bewährtes Expertennetzwerk eingebunden. Die fachliche Verantwortung bleibt ungeteilt.

Wie sieht ein typischer Zeitrahmen aus?

Das hängt von Ausgangslage und Ziel ab. Eine Gap-Analyse dauert in der Regel 2–4 Wochen. Der vollständige IMS-Aufbau mit Zertifizierungsvorbereitung liegt typischerweise bei 4–9 Monaten — abhängig von Umfang und internen Ressourcen. Der konkrete Zeitrahmen wird im Kickoff abgestimmt.

Wie Wird das Honorar gestaltet?

Projektbezogen mit klar definiertem Leistungsumfang und transparentem Aufwand. Keine Stundensatz-Überraschungen, keine versteckten Zusatzkosten. Der Aufwand wird vorab auf Basis der Gap-Analyse oder Ersteinordnung geschätzt und gemeinsam festgelegt.

Schaffen Sie das als Einzelberater — auch bei komplexen Mandaten?

Ja — weil die Methodik skaliert, nicht die Teamgröße. Die Qualifikationsbreite (16 aktuelle Zertifizierungen) erlaubt es, Anforderungen aus verschiedenen Feldern in einem Steuerungsmodell zusammenzuführen, ohne für jedes Thema einen Spezialisten koordinieren zu müssen. Bei Bedarf wird gezielt Expertenwissen aus dem Netzwerk eingebunden — aber die Steuerung bleibt in einer Hand.

NIS-2, TISAX@, EIJ Al Act —jeweils eigenes Projekt?

Nein — genau das ist der Kern des integrierten Ansatzes. NIS‑2, TISAX®, EU AI Act und andere Anforderungen werden in eine gemeinsame Steuerungslogik eingebettet. Jede Anforderung wird eingeordnet, nicht parallel aufgebaut. Das reduziert Doppelarbeit, Schnittstellen und Koordinationsaufwand erheblich.

Was passiert nach Mandatsende?

Das hängt von Ausgangslage und Ziel ab. Eine Gap-Analyse dauert in der RDas System wird so aufgebaut, dass es nach Mandatsende eigenständig tragfähig bleibt. Die Übergabe an interne Verantwortliche ist Teil des Mandats — inklusive Dokumentation, Schulung und Steuerungslogik. Danach entscheiden Sie, ob und in welcher Form eine Zusammenarbeit sinnvoll ist. egel 2–4 Wochen. Der vollständige IMS-Aufbau mit Zertifizierungsvorbereitung liegt typischerweise bei 4–9 Monaten — abhängig von Umfang und internen Ressourcen. Der konkrete Zeitrahmen wird im Kickoff abgestimmt.

Arbeiten Sie nur mit Automotive-Unternehmen?

Nein — Automotive ist eines von mehreren Mandatsfeldern. Typische Mandatsumfelder sind Maschinen- und Anlagenbau, Metallverarbeitung, Kunststoffindustrie, Elektrotechnik und IT-nahe Dienstleistungen. Der gemeinsame Nenner ist der Bedarf an integrierten Steuerungsstrukturen, nicht die Branche.

Wie beginnt eine Zusammenarbeit konkret?

Mit einem vertraulichen Erstgespräch (ca. 30 Minuten). Sie schildern Ihre Ausgangslage, wir ordnen die Betroffenheit ein, klären die Prioritäten und skizzieren den nächsten sinnvollen Schritt. Danach erhalten Sie eine schriftliche Ersteinschätzung — als Grundlage für Ihre interne Entscheidung.

Ausgangslage klären. Nächsten Schritt festlegen.

Sie haben ein konkretes Thema oder mehrere Anforderungen, die gleichzeitig wirken? Im Erstgespräch ordnen wir Ihre Situation ein, klären die Prioritäten und skizzieren einen realistischen Fahrplan — mit Zeitrahmen und Aufwandseinschätzung.