Integrierte Managementsysteme · Steuerungsrahmen · Nachweisführung · Persönliche Mandatsführung
Alle Anforderungen. Ein Steuerungsrahmen. Belastbare Nachweisfähigkeit.
Ein integriertes Managementsystem führt NIS‑2, EU AI Act, CSRD, Automotive-Anforderungen und DSGVO in einer Prozesslandschaft zusammen — mit einer Nachweislogik, klaren Verantwortlichkeiten und dokumentierter Sorgfaltspflicht für die Geschäftsführung.
Dr. Bernhard Krömer: Promotion über integrierte Managementsysteme, 16 aktive Qualifikationen, über 30 Jahre Industrie- und Beratungspraxis. Jedes Mandat wird persönlich geführt — kein Junior-Team, kein Beraterwechsel, keine Delegation.
Promotion — Integrierte Managementsysteme
Über 25 Jahre in verantwortlichen Industriepositionen
16 aktive Qualifikationen (DGQ, EOQ, TÜV, VDA QMC)
Ø 30 % weniger Prüfaufwand in bisherigen Mandaten
Warum jetzt?
Regulatorik und Kundendruck erzwingen Integration
§38 BSIG verpflichtet die Geschäftsleitung persönlich. Der EU AI Act macht Hochrisiko-KI zur Compliance-Pflicht. CSRD/Omnibus verlangt ESG-Nachweise in der Lieferkette. Ihre Kunden verlangen ISO 27001, IATF, TISAX oder Nachhaltigkeitsdaten — oft gleichzeitig. Wer jede Anforderung isoliert abarbeitet, verdoppelt Aufwand, Schnittstellen und Haftungsexposition. Ein IMS ist der strukturell belastbare Weg, diese Konvergenz zu steuern.
Akut
NIS‑2 / BSIG
Seit 06.12.2025 geltendes Recht. BSI-Registrierungsfrist abgelaufen. § 38 BSIG: Die Geschäftsleitung muss Cybersicherheitsmaßnahmen persönlich umsetzen, überwachen und sich regelmäßig schulen lassen — Delegation entbindet nicht. In einem IMS sind Risikoregister, Schulungsnachweise und Auditberichte für diesen Nachweis bereits strukturell verankert.
März 2026
CSRD / Omnibus
Omnibus (EU) 2026/470 in Kraft seit 18.03.2026. Direkte Berichtspflicht erst ab 1.000 MA / 450 Mio. € — aber: Kunden und OEMs leiten ESG-Datenanforderungen über Lieferkettenklauseln weiter. LkSG bleibt aktiv. Ein IMS integriert ESG-Datenflüsse in dieselben Prozesse, die auch Qualität, Umwelt und Arbeitsschutz steuern — keine parallele Reporting-Struktur.
August 2026
EU AI Act
Hochrisiko-Pflichten ab 02.08.2026 — Risikomanagement, Datengovernance, technische Dokumentation, menschliche Überwachung. ISO 42001 liefert den Managementsystem-Rahmen. Digital Omnibus noch im Trilog — der Stichtag bleibt rechtlich bindend. In einem IMS wird KI-Governance als Layer in die bestehende Prozesslandschaft eingeordnet, nicht als IT-Sonderprojekt.
Laufend
ISO-Revisionen
ISO 9001 Revision geplant Sept 2026 (inkl. Klimaintegration). ISO 14001 Publikation April 2026. ISO 27001:2022 Transition abgelaufen (Okt 2025). IATF Rules 6th Edition seit 01.01.2025. TISAX ISA 6 seit April 2024. Ein IMS auf Basis der Harmonized Structure (HS) nimmt diese Revisionen über die gemeinsame Klauselarchitektur auf — ohne Systemumbau.
Konsequenz für die Geschäftsleitung: Dieselben Managementprozesse — Risikomanagement, Schulung, Dokumentation, interne Audits, Managementbewertung, Lieferantensteuerung, Incident-Management — werden inzwischen parallel aus ISO-Normen, Branchenschemata und Gesetzen gefordert. Ohne Integration entstehen Doppelstrukturen, widersprüchliche Nachweislagen und persönliche Haftungsexposition. Ein IMS löst dieses Problem strukturell: eine Prozesslandschaft, eine Nachweislogik, eine Verantwortungsstruktur.
Definition
Was ein integriertes Managementsystem für die Geschäftsleitung leistet
Ein integriertes Managementsystem ist kein Dokumentationsprojekt und keine Normenliste. Es ist der Steuerungsrahmen, in dem Ihre Geschäftsleitung regulatorische Pflichten, Kundenanforderungen und Normvorgaben nachweisbar erfüllt — mit einer Prozesslandschaft, einer Nachweislogik und klaren Verantwortlichkeiten. Der entscheidende Unterschied: Neue Anforderungen werden in die bestehende Architektur eingeordnet, nicht daneben aufgebaut. Die Grenzkosten jeder weiteren Anforderung sinken mit dem Integrationsgrad.
| Kriterium | Einzelsysteme (Silos) | Integriertes Managementsystem |
|---|---|---|
| Prozesslandschaft | Mehrere parallele Prozessbeschreibungen, unterschiedliche Terminologie, redundante Abläufe. | Eine gemeinsame Prozesslandschaft — jede Anforderung ist einem Prozess zugeordnet. |
| Verantwortlichkeiten | QMB, ISB, DSB, ESG-Beauftragter, KI-Verantwortlicher — getrennte Linien, unklare Schnittstellen. | Klare Rollen- und Schnittstellenarchitektur. Verantwortung liegt bei Prozesseignern, nicht in Stabsstellen. |
| Audits | Separate Audits pro Norm/Standard. Mehrfache Eröffnungen, Reports, Nachbereitung. | Kombinierte Audits mit nachweisbar reduziertem Prüfaufwand. Ein Auditbericht, eine Eröffnungs- und Schlussbesprechung. |
| Nachweisführung | Widersprüchliche Dokumente, getrennte Risikoregister, doppelte Schulungsnachweise. | Eine durchgängige Nachweiskette — konsistent für Auditoren, Behörden und Kunden. |
| Neue Anforderung | Wird als Parallelprojekt angebaut — neuer Beauftragter, neues Handbuch, neuer Audit-Zyklus, neue Kosten. Jedes Regelwerk potenziert den Gesamtaufwand. | Wird in die bestehende Architektur eingeordnet. Prozesse, Rollen und Nachweise werden erweitert, nicht verdoppelt. Die Grenzkosten jeder neuen Anforderung sinken mit dem Integrationsgrad. |
ISO 9001
ISO 14001
ISO 45001
ISO 27001
IATF 16949
TISAX®
ISO 42001 (KI)
DSGVO
CSRD/ESG
Einzelsysteme (Silos)
- Mehrere parallele Prozessbeschreibungen
- Getrennte Beauftragte, unklare Schnittstellen
- Separate Audits, mehrfache Reports
- Widersprüchliche Nachweislagen
- Jedes Regelwerk potenziert den Gesamtaufwand
Integriertes Managementsystem
- Eine gemeinsame Prozesslandschaft
- Klare Rollen, Verantwortung bei Prozesseignern
- Kombinierte Audits, nachweisbar reduzierter Prüfaufwand
- Durchgängige, konsistente Nachweiskette
- Grenzkosten sinken mit dem Integrationsgrad
Ausgangslage
Typische Ausgangslagen — erkennen Sie Ihre Situation?
Jede dieser Ausgangslagen hat denselben Kern: Parallele Anforderungen treffen auf getrennte Systeme — und die Geschäftsleitung trägt das Risiko. Ein IMS löst das strukturell.
Mehrfachzertifizierungen - jede Norm ein eigenes Projekt
ISO 9001, 14001, 45001, 27001 — jede Norm wurde separat eingeführt: eigener Beauftragter, eigenes Handbuch, eigener Audit-Zyklus, eigenes Budget. Das Ergebnis: doppelte Prozessbeschreibungen, widersprüchliche Terminologie und ein Koordinationsaufwand, der mit jeder neuen Norm exponentiell wächst. Ein IMS konsolidiert diese Systeme in einer Prozesslandschaft — mit der Harmonized Structure als Architekturprinzip. Das Ergebnis: spürbar weniger Auditzeit, eine Dokumentation statt vier und ein Management Review statt mehrerer.
Kundenspezifische Anforderungen - OEM, Tier-1, Branchenstandards
IATF 16949, VDA 6.3, TISAX, kundenspezifische Anforderungen (CSR) — Automobilzulieferer kennen das: Jeder Kunde verlangt eigene Nachweise, eigene Audit-Formate, eigene Dokumentationstiefe. Ein IMS bildet die gemeinsame Basis, auf der kundenspezifische Anforderungen als Layer aufgesetzt werden — ohne die gesamte Dokumentation zu verdoppeln.
Regulatorik - Add-ons - NIS-2, EU AI Act, CSRD kommen "obendrauf"
Neue gesetzliche Pflichten werden als isolierte Compliance-Projekte gestartet: NIS-2 beim CISO, ESG-Reporting bei der Nachhaltigkeitsabteilung, KI-Governance als IT-Projekt. Die Geschäftsleitung sieht drei Risikoberichte, drei Budgets und drei Zeitpläne — ohne zu wissen, ob die Nachweise konsistent sind. Ein IMS ordnet jede neue Pflicht in dieselbe Prozesslandschaft ein: § 38 BSIG (Geschäftsleiterhaftung), Art. 9 EU AI Act (Risikomanagement) und CSRD (Berichtspflichten) treffen auf dasselbe Risikoregister, dieselbe Managementbewertung und dasselbe Auditprogramm. Das macht Compliance steuerbar statt fragmentiert.
Unklare Rollen und Schnittstellenprobleme
QMB, ISB, DSB, Nachhaltigkeitsbeauftragter, KI-Verantwortlicher — fünf Rollen, die teils dieselben Prozesse verantworten, aber in getrennten Welten berichten. Die Geschäftsleitung erhält fünf Statusberichte, fünf Risikobewertungen und kann nicht belastbar nachvollziehen, ob Maßnahmen wirken oder sich widersprechen. Das ist nicht nur ineffizient — es ist ein Haftungsrisiko, wenn Auditoren oder Behörden inkonsistente Nachweise finden. Ein IMS ersetzt Normbeauftragte durch Prozesseigner: Eine Rollenarchitektur, in der Verantwortung am Prozess hängt, nicht an der Norm.
Dokumentationswildwuchs und fehlende Steuerbarkeit
Handbücher, Verfahrensanweisungen, Arbeitsanweisungen — für jede Norm ein eigener Dokumentenstamm, oft in unterschiedlichen Tools, mit unterschiedlichen Versionsständen und ohne Querverweis. Im Audit wird das zum Risiko: Widersprüchliche Dokumente, fehlende Nachweise, Abweichungen. Ein IMS nutzt die Harmonized Structure — die identische Klauselstruktur aller ISO-Managementsystemnormen — als Architekturprinzip: ein Dokumentenstamm, eine Versionslogik, eine durchgängige Nachweiskette. Jede neue Norm wird eingeordnet, nicht angebaut.
Branchen
Branchen — wo parallele Anforderungen ein IMS zur Notwendigkeit machen
Die regulatorische Last variiert nach Branche — aber die Kernmechanik ist identisch: Dieselben Prozesse werden von verschiedenen Regelwerken gleichzeitig gefordert. Unternehmen, die das ohne Integration steuern, zahlen mit Doppelarbeit, steigendem Prüfaufwand und wachsender Haftungsexposition der Geschäftsleitung.
| Branche | Typische Norm-/Regelwerkslast | Primäre Integrationstreiber 2026 | IMS-Hebel |
|---|---|---|---|
| Maschinen- und Anlagenbau | ISO 9001, ISO 14001, ISO 45001, ISO 27001/NIS‑2, DSGVO, CSRD/LkSG, ggf. ISO 42001 | Cyber-Pflichten (BSIG), ESG-Datenanforderungen aus der Kundenkette, KI-Einsatz in wachsender Zahl operativer Prozesse | Ein Steuerungsrahmen für Qualität, Arbeitsschutz, Informationssicherheit, ESG und KI — statt fünf paralleler Projekte |
| Metallverarbeitung / Kunststoff | ISO 9001, ISO 14001, ISO 45001, ggf. IATF/VDA bei Automotive-Nähe, ggf. ISO 27001/NIS‑2, DSGVO, CSRD/LkSG | Kundendruck (Qualitäts-, ESG- und Informationssicherheitsanforderungen), NIS‑2-Relevanz im verarbeitenden Gewerbe, Energiemanagement, zunehmender KI-Einsatz entlang der Wertschöpfungskette | Weniger Auditaufwand, durchgängige Nachweisführung für Qualität, Informationssicherheit und ESG — gegenüber Kunden, Behörden und Zertifizierern |
| Elektrotechnik / Elektronik | ISO 9001, ISO 14001, ISO 27001/NIS‑2, DSGVO, CSRD/LkSG, ggf. ISO 45001, ggf. ISO 42001 | Produkt- und IP-Sicherheit, NIS‑2-Pflichten, ESG-Anforderungen aus der Lieferkette, zunehmender KI-Einsatz in Entwicklung, Fertigung und Geschäftsprozessen | Qualität, Informationssicherheit, Datenschutz und ESG in einer Nachweislogik — prüffest für Kunden und Behörden |
| Software / IT‑Dienstleistungen | ISO 27001/NIS‑2, DSGVO, ISO 9001, EU AI Act / ISO 42001, ggf. CSRD/LkSG | ISO 27001:2022 Post-Transition, NIS‑2-Governance, AI Act Hochrisiko-Pflichten, KI als Kernbestandteil des Leistungsportfolios | Ein System statt fragmentierter Compliance-Inseln — steuerbar für die Geschäftsführung, prüffest für Kunden und Aufsichtsbehörden |
| Automobilzulieferer (Tier 1–3) | IATF 16949, VDA 6.3, TISAX (ISA 6), ISO 27001/NIS‑2, ISO 14001, ISO 45001, DSGVO, CSRD/LkSG, ggf. ISO 42001 | OEM-Audits, TISAX-Assessments, NIS‑2-Pflichten, ESG-Anforderungen aus der Lieferkette, KI-Einsatz über alle Unternehmensbereiche hinweg | Widerspruchsfreie Nachweise gegenüber OEMs, Behörden und Zertifizierern — aus einem System, mit einer Dokumentation und einem Auditprogramm |
Maschinen- und Anlagenbau
ISO 9001 · ISO 14001 · ISO 45001 · ISO 27001/NIS‑2 · DSGVO · CSRD/LkSG · ggf. ISO 42001
Cyber-Pflichten, ESG-Datenanforderungen und wachsender KI-Einsatz treffen auf bestehende Qualitäts- und Arbeitsschutzsysteme. Ein IMS integriert neue Anforderungen in die vorhandene Prozesslandschaft — ohne Parallelstrukturen und ohne zusätzliche Beauftragtenlinien.
Metallverarbeitung / Kunststoff
ISO 9001 · ISO 14001 · ISO 45001 · ggf. IATF/VDA · ggf. ISO 27001/NIS‑2 · DSGVO · CSRD/LkSG
Kunden fordern Qualitäts-, ESG- und Informationssicherheitsnachweise gleichzeitig. NIS‑2 betrifft zunehmend auch das verarbeitende Gewerbe, KI-Einsatz wächst entlang der Wertschöpfungskette. Ein IMS bündelt alle Anforderungen in einer Dokumentation — weniger Doppelarbeit, klare Verantwortlichkeiten.
Elektrotechnik / Elektronik
ISO 9001 · ISO 14001 · ISO 27001/NIS‑2 · DSGVO · CSRD/LkSG · ggf. ISO 45001 · ggf. ISO 42001
Produkt- und IP-Sicherheit, NIS‑2-Pflichten, ESG-Anforderungen aus der Lieferkette und zunehmender KI-Einsatz erfordern eine gemeinsame Steuerungslogik. Ein IMS führt Qualität, Informationssicherheit, Datenschutz und ESG in einem Steuerungsrahmen zusammen — statt paralleler Einzelprojekte.
Software / IT‑Dienstleistungen
ISO 27001/NIS‑2 · DSGVO · ISO 9001 · EU AI Act / ISO 42001 · ggf. CSRD/LkSG
NIS‑2-Pflichten, ISO 27001, AI Act Hochrisiko-Anforderungen und DSGVO wirken gleichzeitig — und KI ist oft Kernbestandteil des eigenen Leistungsportfolios. Ein IMS macht diese Anforderungen für die Geschäftsführung steuerbar — ein System statt fragmentierter Compliance-Inseln.
Automobilzulieferer (Tier 1–3)
IATF 16949 · TISAX · ISO 27001/NIS‑2 · ISO 14001 · ISO 45001 · DSGVO · CSRD/LkSG · ggf. ISO 42001
OEM-Audits, TISAX-Assessments, NIS‑2-Pflichten, ESG-Anforderungen und KI-Einsatz über alle Bereiche hinweg — die Anforderungslast wächst mit jedem Regelwerk. Ein IMS liefert widerspruchsfreie Nachweise aus einem System — eine Prozesslandschaft, eine Dokumentation, ein Steuerungsrahmen.
Was sich integrieren lässt
Welche Normen, Gesetze und Branchenstandards in ein IMS gehören — und warum sie zusammenpassen
ISO-Normen, Branchenstandards und Gesetze verlangen im Kern dasselbe: dass Risiken bewertet, Maßnahmen umgesetzt, Verantwortlichkeiten dokumentiert und Ergebnisse nachweisbar geprüft werden. Die ISO hat ihre Managementsystemnormen bewusst so gebaut, dass sie zusammenpassen — einheitlicher Aufbau, einheitliche Begriffe, einheitliche Logik. In einem IMS wird das genutzt: ein Risikoregister, ein Auditprogramm, eine Managementbewertung — und jede neue Anforderung wird eingeordnet statt daneben aufgebaut. Der Aufwand sinkt mit jeder Norm, die dazukommt.
Qualität & Prozessmanagement
ISO 9001 ist nicht eine Norm unter vielen — sie ist das Fundament. Kundenanforderungen, Prozessfähigkeit, Risikobewertung, kontinuierliche Verbesserung: das sind die Mechanismen, die in jedem weiteren Regelwerk vorausgesetzt werden. In einem IMS bildet ISO 9001 die tragende Struktur, in die Informationssicherheit, Umwelt, Arbeitsschutz, KI-Governance und Compliance eingehängt werden. Ohne dieses Fundament bleibt jede Integration Stückwerk — mit ihm sinkt der Aufwand für jede weitere Anforderung, weil die Grundstruktur bereits steht.
Was das für die Geschäftsführung bedeutet: Ihr Qualitätssystem wird zum tragenden Rahmen für alle regulatorischen Pflichten
ISO 9001
Informationssicherheit, Datenschutz & Cyber-Pflichten
ISO 27001 liefert das Managementsystem, TISAX® den Informationssicherheitsnachweis für Automotive-Kunden, NIS‑2/BSIG die gesetzliche Pflicht mit persönlicher Geschäftsführerhaftung nach § 38 BSIG, DSGVO den Datenschutzrahmen. Vier Regelwerke, die in der Praxis auf dieselben Prozesse treffen: Risikoanalyse, Vorfallmanagement, Lieferantenbewertung, Schulungsnachweise. In einem IMS wird das einmal aufgebaut — nicht viermal in vier getrennten Systemen mit vier getrennten Beauftragten. Das beseitigt das größte Problem getrennter Systeme: Nachweise, die nicht zusammenpassen — und die bei einer Behördenprüfung, einem Kundenaudit oder im Haftungsfall auseinanderfallen.
Was das für die Geschäftsführung bedeutet: Persönliche Haftung nach § 38 BSIG nachweisbar absichern — mit einem durchgängigen System statt vier Parallelwelten, die im Ernstfall nicht zueinander passen.
ISO 27001 · TISAX® · NIS‑2 · DSGVO ·
Umwelt, Arbeitsschutz, Energie & Nachhaltigkeitsberichterstattung
Umwelt- und Arbeitsschutzmanagement werden seit Jahren gemeinsam geführt — und bleiben hochaktuell. Die ISO 14001-Revision (Publikation April 2026) verstärkt den Klimabezug. CSRD/Omnibus (EU) 2026/470 verschiebt die direkte Berichtspflicht auf größere Unternehmen — aber ESG-Datenanforderungen kommen über Lieferkettenklauseln trotzdem bei Ihnen an. In einem IMS laufen Umweltziele, Arbeitsschutzkennzahlen, Energiedaten und ESG-Nachweise über dieselben Prozesse, die auch Qualität und Informationssicherheit steuern. Kein eigenes Reporting-Projekt, keine zusätzliche Stabsstelle, die neben der operativen Führung herarbeitet.
Was das für die Geschäftsführung bedeutet: ESG-Druck aus der Kundenkette mit den Prozessen auffangen, die ohnehin laufen — statt eine Parallelstruktur aufzubauen, die bei der nächsten Kundenanfrage wieder nicht passt.
ISO 14001 · ISO 45001 · LkSG · CSRD/ESRS
KI-Governance & EU AI Act
ISO 42001 ist nach demselben Prinzip aufgebaut wie ISO 9001, 14001 und 27001 — einheitliche Struktur, einheitliche Begriffe, einheitliche Logik. Risikomanagement, Dokumentation, Rollen, Audit: alles passt in ein bestehendes IMS. Ab 02.08.2026 gelten die Hochrisiko-Pflichten des EU AI Act — Risikobewertung, Datengovernance, technische Dokumentation, menschliche Überwachung. Wer KI-Governance jetzt als IT-Sonderprojekt aufbaut, schafft die nächste Parallelstruktur mit eigenem Beauftragten, eigenem Handbuch und eigenem Budget. Wer es in ein bestehendes IMS einordnet, erweitert das System um einen Baustein — ohne Doppelarbeit.
Was das für die Geschäftsführung bedeutet: KI-Compliance ab August 2026 wird Teil der laufenden Steuerung — nicht das nächste Einzelprojekt, das in zwei Jahren wieder niemand pflegt.
ISO 42001 · EU AI Act ·
Automotive-Anforderungen & Branchenstandards
IATF 16949 erweitert ISO 9001 um die Anforderungen der Automobilindustrie — Produktionslenkung, APQP, PPAP, FMEA, MSA, SPC. VDA 6.3 kommt als Prozessaudit dazu, TISAX® regelt den Zugang zu OEM-Daten. Drei Anforderungsschichten, die in den meisten Unternehmen getrennt verwaltet werden — mit getrennter Dokumentation, getrennten Audits und getrennten Ansprechpartnern pro Kunde. In einem IMS setzen alle drei auf derselben Prozesslandschaft auf. Ein internes Audit deckt Qualität, Prozessreife und Informationssicherheit gemeinsam ab. Die Nachweise gegenüber OEMs, Tier-1-Kunden und Zertifizierern kommen aus einem System — nicht aus drei Ordnern, die im Kundenaudit erst mühsam zusammengesucht werden müssen.
Was das für die Geschäftsführung bedeutet: Kundenaudits bestehen, Lieferfähigkeit sichern, Vertragsverlängerungen absichern — mit durchgängigen Nachweisen statt getrennter Dokumentation, die bei jedem OEM-Besuch neu zusammengestellt wird.
IATF 16949 · TISAX® · VDA 6.3 ·
Compliance-Management & Lieferkettenpflichten
LkSG und CSDDD definieren konkrete Sorgfaltspflichten in der Lieferkette: Risikoanalyse, Präventionsmaßnahmen, Abhilfemaßnahmen, Beschwerdeverfahren. In vielen Unternehmen liegt das beim Juristen oder bei einer externen Kanzlei — getrennt vom operativen Einkauf, getrennt von der Lieferantenbewertung, getrennt vom Risikomanagement. Im Ernstfall passen die Nachweise nicht zusammen. In einem IMS laufen Lieferkettenpflichten über dieselbe Lieferantenbewertung, dasselbe Risikoregister und dieselbe Managementbewertung wie Qualität, Informationssicherheit und Umwelt. Das macht Compliance-Nachweise belastbar — weil sie aus dem operativen System kommen, nicht aus einem juristischen Sonderordner.
Was das für die Geschäftsführung bedeutet: Sorgfaltspflichten nachweisbar in der laufenden Steuerung verankert — nicht in einem Parallelsystem, das im Ernstfall nicht zum Betrieb passt.
ISO 37301 · LkSG · CSDDD ·
Vorgehen
Vier Phasen — jede einzeln beauftragbar, jede mit klarem Ergebnis
1
Einordnung & Zielbild
Welche Anforderungen betreffen Ihr Unternehmen tatsächlich — und welche nicht? Bevor ein einziger Prozess angefasst wird, klären wir den Geltungsbereich, die Risikolage und die Verantwortlichkeiten. Die Geschäftsführung erhält ein klares Zielbild und einen priorisierten Fahrplan — keine Normenliste, sondern eine Entscheidungsgrundlage mit konkreten nächsten Schritten.
Was Sie danach in der Hand haben: Klarheit darüber, welche Anforderungen für Sie gelten, wo die größten Lücken liegen, wer wofür verantwortlich sein wird — und eine realistische Einschätzung von Aufwand und Zeitrahmen.
2
Prozesslandschaft & Nachweisführung
Alle relevanten Anforderungen — aus Normen, Gesetzen und Kundenverträgen — werden in eine gemeinsame Prozesslandschaft überführt. Dokumentation wird vereinheitlicht, Nachweisketten werden so aufgebaut, dass sie gegenüber Zertifizierern, Behörden und Kunden standhalten. Nicht für jede Norm ein eigenes Handbuch, sondern ein durchgängiges System.
Was Sie danach in der Hand haben: Eine Prozesslandschaft, die alle Anforderungen abdeckt. Eine Dokumentation, die bei jedem Audit und jeder Prüfung funktioniert — ohne vorher zusammengesucht werden zu müssen.
3
Umsetzung & Wirksamkeit
Prozesse werden im Betriebsalltag verankert — nicht im Handbuch. Führungskräfte übernehmen ihre Verantwortung als Prozesseigner, Schulungen werden durchgeführt, Kennzahlen festgelegt. Die Wirksamkeit wird in der Managementbewertung geprüft: Funktioniert das System unter realen Bedingungen? Wo muss nachgesteuert werden?
Was Sie danach in der Hand haben: Ein System, das im Tagesgeschäft funktioniert. Geschulte Verantwortliche, die ihre Rolle kennen. Nachweise, die belegen, dass Maßnahmen nicht nur beschlossen, sondern wirksam umgesetzt wurden.
4
Audit & kontinuierliche Verbesserung
Integriertes internes Audit über alle Anforderungsbereiche — ein Audit, ein Bericht, eine Nachbereitung. Die Managementbewertung wird zum zentralen Steuerungsinstrument: alle Themen, alle Kennzahlen, alle Entscheidungen in einem Termin. Zertifizierungsvorbereitung, falls gewünscht. Und ein Mechanismus, der sicherstellt, dass das System nicht nach dem ersten Audit stehen bleibt, sondern sich mit dem Unternehmen weiterentwickelt.
Was Sie danach in der Hand haben: Ein auditiertes, funktionierendes IMS. Zertifizierungsreife, wenn angestrebt. Und eine eingespielte Systematik, die neue Anforderungen aufnimmt, ohne jedes Mal bei null anzufangen.
Jede Phase einzeln beauftragbar. Sie entscheiden nach jeder Phase, ob und wie es weitergeht. Kein Pauschalpaket, keine Bindung. Typische Gesamtdauer bis zur Zertifizierungsreife: 6 bis 12 Monate — abhängig davon, welche Systeme bereits vorhanden sind, wie viele Standorte betroffen sind und welche Normen integriert werden sollen.
Unterschied
Was diese Umsetzung von Beratungshäusern und Einzelberatern unterscheidet
Ein Ansprechpartner — von der Einordnung bis zum laufenden System
Jedes Mandat wird persönlich von Dr. Bernhard Krömer geführt. Kein Junior-Team, das nach dem Verkaufsgespräch übernimmt. Keine Unterbeauftragung, kein Beraterwechsel mitten im Projekt. Sie sprechen immer mit dem, der Ihr System kennt, aufbaut und verantwortet. In einer Branche, in der Beratungshäuser den Partner im Erstgespräch zeigen und danach Berufseinsteiger schicken, ist das ein Unterschied, den Sie in jeder Projektphase spüren: keine Einarbeitungsschleifen, keine Übergabeverluste, keine Rückfragen, die schon geklärt waren. Und wenn Sie nach dem Projektabschluss einen externen QMB, ISB oder Datenschutzbeauftragten brauchen — bleibt derselbe Ansprechpartner.
Ein System, das steuert — und im Ernstfall standhält
Das IMS wird nicht für die Zertifizierung gebaut, sondern als Steuerungsinstrument für die Geschäftsführung — und so, dass es im Ernstfall standhält: Behördenprüfung, Kundenaudit, Haftungsnachweis. Ein Risikoregister, ein Auditbericht, ein Dokumentationssatz — durchgängig über alle Anforderungen. Keine widersprüchlichen Unterlagen aus getrennten Systemen, die bei einer BSI-Prüfung, einem OEM-Audit oder einer Datenschutz-Anfrage auseinanderfallen. Neue Anforderungen werden in die bestehende Struktur eingeordnet, nicht daneben aufgebaut. Die Geschäftsführung hat jederzeit ein klares Bild — nicht fünf getrennte Statusberichte aus fünf getrennten Welten.
30 Jahre Industriepraxis — wissenschaftlich fundiert, operativ erprobt
Promotion über integrierte Managementsysteme, MBA Qualitäts- und Umweltmanagement, Diplom-Ingenieur. 16 aktive Qualifikationen bei DGQ, EOQ, TÜV, VDA QMC und VOREST AG — von ISO 9001 über IATF 16949 und ISO 27001 bis ISO 42001 und ESG. Aber Qualifikationen allein bauen kein funktionierendes System. Was zählt: über 25 Jahre in verantwortlichen Positionen in der Industrie und Beratung. Fertigungsprozesse, Lieferketten, Kundenaudits, Behördenprüfungen — aus eigener operativer Verantwortung, nicht nur aus der Theorie.
Aufgebaut für den Betriebsalltag — nicht für den Ordner
Ein IMS, das nur für das Zertifizierungsaudit funktioniert, ist in zwölf Monaten veraltet. Die Prozesse werden so aufgebaut, dass operative Führungskräfte sie als Steuerungsinstrument nutzen — nicht als Pflichtübung vor dem nächsten Audittermin. Managementbewertung als echtes Entscheidungsformat, interne Audits als Feedback aus dem Betrieb, Kennzahlen, die tatsächlich gesteuert werden. Das Ziel ist ein System, das die Geschäftsführung entlastet — nicht eines, das zusätzliche Verwaltung erzeugt.
Praxisbeispiele
Wie Integration in der Praxis aussieht — drei Mandate, drei Ausgangslagen
Alle Mandate unterliegen Vertraulichkeit. Die folgenden Darstellungen sind anonymisiert und auf die Kernstruktur reduziert.
IMS-Aufbau · Fertigungsunternehmen
Vom Einzelsystem zum integrierten Steuerungsrahmen
Ausgangslage: Fertigungsunternehmen, Metallverarbeitung, ca. 450 Mitarbeiter. ISO 9001 vorhanden. Umwelt, Arbeitsschutz, Datenschutz und Nachhaltigkeitsanforderungen aus der Kundenkette kamen als getrennte Projekte dazu — mit wachsendem Koordinationsaufwand, doppelten Dokumentationen und zunehmenden Widersprüchen zwischen den Systemen.
Ergebnis: Ein integriertes Managementsystem mit einer Prozesslandschaft, einer Dokumentation und klaren Verantwortlichkeiten. ISO 9001, 14001, 45001, DSGVO und ESG-Nachweise in einem System zusammengeführt — in einem Mandat, persönlich geführt, ohne Teilprojekte.
Kennzahl: 30 % weniger Prüfaufwand
IMS-Integration · Automobilzulieferer
IATF und TISAX in einer Prozesslandschaft
Ausgangslage: Tier-2-Zulieferer, Automobilindustrie, ca. 600 Mitarbeiter. IATF 16949 zertifiziert. Das TISAX-Assessment wurde als separates Projekt mit eigener Dokumentation, eigenem Zeitplan und eigener Berichtslogik aufgesetzt — parallel zum bestehenden Qualitätssystem, mit doppeltem internem Auditaufwand und widersprüchlichen Nachweislagen bei OEM-Kundenaudits.
Ergebnis: Qualitäts- und Informationssicherheitsanforderungen in einer Prozesslandschaft zusammengeführt. TISAX-Nachweise direkt aus dem integrierten System heraus geführt. Ein internes Auditprogramm, eine Managementbewertung — und Nachweise, die bei jedem OEM-Kundenaudit konsistent zusammenpassen.
Kennzahl: 3 OEM-Kundenaudits bestanden — mit einer Dokumentation
Regulatorik-Integration · Maschinenbau
NIS‑2 und ESG in bestehendes System integriert — ohne Parallelstruktur
Ausgangslage: Maschinenbauunternehmen, DACH-Region, ca. 750 Mitarbeiter. ISO 9001, 14001 und 45001 vorhanden. NIS‑2/BSIG-Betroffenheit festgestellt, gleichzeitig ESG-Datenanforderungen aus der Kundenkette. Zwei neue Pflichtenbereiche, die intern als eigene Projekte mit eigenen Budgets und eigenen Beauftragten aufgesetzt werden sollten.
Ergebnis: NIS‑2-Anforderungen (§ 30 BSIG Risikomanagement, § 32 Meldeprozesse, § 38 Geschäftsleiterschulung) und ESG-Nachweisstrukturen in die bestehende Prozesslandschaft eingeordnet — persönlich geführt, ohne externe Teilprojekte, ohne zusätzliche Beauftragtenlinien. Die Geschäftsführung steuert Cyber-Pflichten und Nachhaltigkeit über dieselbe Managementbewertung wie Qualität und Arbeitsschutz.
Kennzahl: 2 neue Pflichtenbereiche integriert — ohne zusätzliches Personal, ohne Parallelbudget
Andere Branche, andere Systemlandschaft — dieselbe Methodik. In 30 Minuten ordnen wir ein, welcher Integrationsweg für Ihre Ausgangslage der richtige ist.
FAQ
Häufige Fragen vor dem Erstgespräch
Rechnet sich ein integriertes Managementsystem?
Ja — und zwar messbar. Weniger Doppelarbeit, reduzierter Prüfaufwand, klarere Verantwortlichkeiten, weniger Schnittstellen. In bisherigen Mandaten lag die Reduktion des Prüfaufwands bei durchschnittlich 30 %. Entscheidend ist, dass das IMS nicht als theoretisches Modell aufgesetzt wird, sondern in der betrieblichen Realität funktioniert.
Was ist der schnellste Hebel zur Reduzierung des Auditaufwands?
Das kombinierte Audit. Wenn Ihre Normen in einer Prozesslandschaft abgebildet sind, können Zertifizierungsaudits gebündelt werden — eine Eröffnungs- und Schlussbesprechung, ein Auditbericht, ein Auditplan. Die Voraussetzung: Dokumentation, interne Audits und Managementbewertung müssen tatsächlich integriert sein — nicht nur auf dem Papier.
Wie werden NIS-2, ISO 27001 und Datenschutz in ein IMS integriert?
NIS‑2/BSIG verlangt Risikomanagementmaßnahmen (§ 30) und persönliche Geschäftsleiterpflichten (§ 38), die sich strukturell mit ISO 27001 und DSGVO überschneiden: Risikoanalyse, Incident-Handling, Lieferantensteuerung, Schulungsnachweise. Im IMS werden diese Anforderungen in gemeinsame Prozesse überführt — ein Risikoregister, ein Auditprogramm, eine Managementbewertung. Kein separates ISMS, kein separater DSGVO-Ordner.
Lässt sich KI-Governance (EU AI Act) in ein bestehendes IMS integrieren?
Ja. ISO/IEC 42001 ist als Managementsystemnorm auf der Harmonized Structure aufgebaut — identische Klauselstruktur wie ISO 9001, 14001, 27001. Der KI-Governance-Layer wird in dieselbe Prozesslandschaft integriert: Risikomanagement, Datengovernance, Dokumentation, Rollen, Audit. Kein isoliertes IT-Projekt. →KI‑Governance im Detail
Was bedeutet "eine Nachweislogik" in Audits und Prüfungen?
Jede Anforderung — ob ISO-Norm, gesetzliche Pflicht oder Kundenanforderung — wird im selben Prozess- und Dokumentationsrahmen nachgewiesen. Für Auditoren, Behörden und Kunden bedeutet das: ein konsistenter Satz an Risikobewertungen, Maßnahmen, Schulungsnachweisen, Review-Protokollen und Auditberichten. Keine widersprüchlichen Dokumente, keine getrennten Nachweisordner, keine Überraschungen im Audit.
Wie lange dauert der Aufbau eines IMS bis zur Zertifizierungsreife?
Das hängt von Ausgangslage, Scope und Reifegrad ab. Orientierung: Mit bestehendem QMS (z. B. ISO 9001) rechnen Sie mit 6 bis 12 Monaten bis zur integrierten Zertifizierungsreife — abhängig von Anzahl der Normen und Standorte. Jede der vier Phasen ist einzeln beauftragbar. Sie entscheiden nach jeder Phase über das weitere Vorgehen. Im Erstgespräch schätzen wir den Aufwand realistisch ein.
Brauchen wir einen eigenen IMS-Beauftragten?
Nicht zwingend als getrennte Rollen. In einem integrierten System können Verantwortlichkeiten gebündelt werden — ein Managementsystembeauftragter mit klaren Schnittstellen statt paralleler Beauftragtenlinien. Das spart nicht nur Personalkosten, sondern eliminiert die gefährlichste Schwachstelle fragmentierter Systeme: widersprüchliche Nachweislagen zwischen getrennten Verantwortungsbereichen. Die Rollenarchitektur wird in Phase 1 auf Ihre Organisationsstruktur zugeschnitten.
Sind kombinierte Audits sinnvoll oder nur kosmetisch?
Sinnvoll — wenn das System tatsächlich integriert ist. Bei akkreditierten kombinierten Audits können die Auditzeiten gegenüber Einzelaudits reduziert werden — regelbasiert und nachvollziehbar. Voraussetzung: integrierte Dokumentation, integrierte interne Audits, integrierte Politik und Ziele. Ohne echte Integration bleibt ein kombiniertes Audit Kosmetik.
Wie bleibt ein IMS im Tagesgeschäft wirksam?
Durch drei Mechanismen: (1) Prozessverantwortung bei operativen Führungskräften — nicht in Stabsstellen. (2) Integrierte Managementbewertung — ein Review über alle Anforderungsbereiche mit klaren Entscheidungen. (3) Interne Audits als Steuerungsinstrument — nicht als Pflichtübung, sondern als Feedback-Schleife für operative Verbesserung.
Was ist der pragmatischste IMS-Ansatz für Automobilzulieferer?
IATF 16949/VDA 6.3 als Kern nutzen, Informationssicherheit (TISAX/NIS‑2) als integrierten Layer aufsetzen, ESG/Lieferkette über die bestehende Managementbewertung steuern. Keine Parallel-Handbücher, sondern eine Prozesslandschaft mit domänenspezifischen Ergänzungen. Im Erstgespräch ordne ich ein, wo Ihr System steht und welche Integration den größten Hebel bringt.
Wie vermeiden wir Doppelstrukturen beim IMS-Aufbau?
Durch den Aufbau auf der Harmonized Structure (HS): Alle ISO-Managementsystemnormen teilen identische Klauselstruktur, Kerntext und Definitionen. Das IMS nutzt diese Gemeinsamkeit als Architekturprinzip — ein Prozess, eine Dokumentation, ein Auditprogramm. Neue Anforderungen werden eingeordnet, nicht daneben aufgebaut. Genau dieses Prinzip unterscheidet ein gelebtes IMS von einem Sammelsystem.
Warum ein persönliches Mandat statt einer großen Beratung?
Große Beratungshäuser arbeiten mit gestuften Seniorität-Levels und projektbasierter Rotation. Der Partner im Erstgespräch ist selten derjenige, der das Mandat operativ führt. Bei einem IMS-Aufbau, der über 6 bis 12 Monate läuft und Gap-Analyse, Prozessmodellierung, Audit-Vorbereitung und Geschäftsleitungsschulung umfasst, ist Kontinuität keine Komfortfrage — sie ist Voraussetzung für konsistente Nachweisführung. Dr. Krömer führt jedes Mandat persönlich: von der Einordnung über die Umsetzung bis zur Zertifizierungsvorbereitung. Kein Teamwechsel, keine Übergabeverluste, kein Staffing-Risiko.
Was sind die typischen Fehler bei IMS-Projekten?
Drei häufige Fehler: (1) IMS als Dokumentationsprojekt statt als Steuerungsarchitektur — das System wird „zertifizierungsfähig“, aber nicht „lebbar“. (2) Integration auf dem Papier, aber getrennte Silos in der Praxis — unterschiedliche Risiko-Register, getrennte Audit-Zyklen, widersprüchliche Schulungsnachweise. (3) Delegation an wechselnde Berater ohne Systemverständnis — das Ergebnis sind Fragmente statt einer konsistenten Architektur.
Wie viele Parallelsysteme steuert Ihre Geschäftsleitung?
In einem vertraulichen Erstgespräch ordnen wir Ihre Ausgangslage ein — Anforderungslage, Doppelstrukturen, Haftungsrisiken. Ca. 30 Minuten, direkt mit Dr. Bernhard Krömer. Keine Verkaufspräsentation.