Gap‑Assessment durchführen

Multi‑Site‑Portfolios, kritische Standorte/Services, Re‑Sourcing/Providerwechsel, Masterplanung/Investitionswellen (CAPEX), Instandhaltungs‑/Backlog‑Programme (OPEX/CAPEX), Aufbau BC/Notfallorganisation, sowie Vorbereitung von Audits/Assurance‑Prüfungen. Die Anwendbarkeit über unterschiedliche Arbeitsumgebungen (Industrie, Handel, Verwaltung, Gesundheit etc.) ist bei ISO 41012 ausdrücklich adressiert, was die Übertragbarkeit im FM‑Portfolio stützt.

Typische Ausgangslagen sind: inkonsistente Notfallpläne (Standort‑Silos), unklare RTO/RPO‑Ziele, fehlende Redundanz‑/Wiederanlaufkonzepte, Trainings‑/Übungsdefizite, Backlogs in Betreiberpflichten/Prüfungen, unklare Provider‑Schnittstellen sowie Datenlücken zwischen CAFM/ERP/HSE/Vertragsakten. Eine Resilienz‑Bewertung soll laut ISO‑22316‑Interpretation zudem als Grundlage dienen, bevor Überwachungsprozesse implementiert werden und um wesentliche Lücken gezielt zu adressieren.

ein definierter Scope (Portfolioeinheiten: Standort/Gebäude/Service/Provider), ein Soll‑Kriterienkatalog (z. B. ISO 22301/22313/22320/22317 plus interne Policies), Zugriff auf Kernquellen (CAFM/IWMS, ERP, BMS, HSE, Verträge, Versicherungen) sowie ein abgestimmtes Bewertungsmodell (Skalen, Gewichte, Schwellen und Gate‑Regeln). PDCA‑Anschluss ist als Prozessdimension im FM‑Grundmodell (EN 15221‑4) ausdrücklich vorgesehen.

CAFM/IWMS/CMMS (Assets, Wartung, Prüfstatus, Backlog), ERP (OPEX/CAPEX, Budgetfenster, Kostenstellen), BMS/GLT (Betriebszustände, Alarme, Energie), HSE/Compliance (Audits, Betreiberpflichten), Versicherungen (Deckung, Selbstbehalte, Business‑Interruption‑Bausteine), Vertragsdaten (SLA‑Klauseln, Reaktionszeiten, Eskalation, Laufzeiten), Nutzer-/Stakeholderfeedback (Servicequalität, Kommunikationsfähigkeit). Die Notwendigkeit, interne/externe Lieferoptionen und FM‑Informationssysteme in der strategischen Beschaffung zu berücksichtigen, wird in ISO 41012 ausdrücklich genannt.

Ein praxistaugliches Rollenmodell (Minimum) umfasst: Sponsor/Steering, FM‑Portfolio Owner, Resilience/BC‑Owner (fachlich), HSE/Compliance‑Owner, IT/OT‑Owner (BMS/Netze), Data Steward (CAFM/ERP/HSE), Procurement/Contract Owner (ISO 41012‑Scope), Provider Manager sowie Standort‑FM als lokale Ausführungsinstanz. ISO 41001 beschreibt den Managementsystemanspruch u. a. über konsistente Erfüllung von Anforderungen interessierter Parteien und geltender Anforderungen; dafür sind klar benannte Owners und Governance zwingend.

• Scope: Definition der kritischen Services/Standorte, Szenarien (z. B. Ausfall Energie, Wasser, IT/Netz, Ausfall Dienstleister, Gebäudezugang), und Soll‑Kriterienkatalog (ISO 22301/22313/22320/22317; ISO 22316‑Prinzipien; ISO 31000‑Risikologik; FM‑Taxonomie DIN EN 15221‑4).

• Daten: Evidenzbasierte Datenerhebung (Dokumente, Logs, Wartungsstände, Vertragstexte) inkl. DQ‑Label.

• Identifikation: Gaps je Kategorie als „Soll‑Kriterium nicht erfüllt/teilweise erfüllt“ – ausdrücklich gefordert ist in der Resilienz‑Logik, wesentliche Lücken zu identifizieren und geeignete Strategien zu prüfen.

• Bewertung: Relevanz, Eintrittswahrscheinlichkeit, Auswirkung, Umsetzbarkeit (Skalen/Normierung s. Bewertungsmodell). Das Grundprinzip „Schwere + Wahrscheinlichkeit“ als Risikodimensionen ist in amtlicher Risikomatrix‑Erläuterung klar dargestellt.

• Priorisierung: Risiko‑Heatmap + Umsetzbarkeitsfilter; Worst‑Case‑Gates für Lebensschutz/Legal/Compliance.

• Maßnahmen: Maßnahmenpakete und Roadmap (0–3 Monate, 3–12 Monate, 1–3 Jahre) inklusive CAPEX/OPEX‑Zuordnung, Verantwortlichkeiten, Tests/Übungen.

• Monitoring: PDCA‑Rhythmus (ISO 22316‑Konzept: Messkriterien, Schwellenwerte, Monitoring und Integration in bestehende Überwachungsprozesse).

Die Methode schafft Transparenz über Schwachstellen, priorisiert nach Risiko und Umsetzbarkeit und erzeugt eine nachvollziehbare Entscheidungsgrundlage (Go/Go‑mit‑Auflagen/No‑Go). Sie unterstützt zudem das Ziel, Resilienz als koordinierte Integration verschiedener Disziplinen (u. a. BCM, Krisenmanagement, Kommunikation, Governance, Finanzmanagement, Informationssicherheit, Lieferketten) aufzubauen.

Ein Gap‑Assessment ist nur so gut wie (a) die Evidenzen/Datenqualität und (b) die Klarheit des Soll‑Kriterienkatalogs. ISO 22316 betont zwar Messkriterien und Schwellenwerte, aber die konkrete Ausgestaltung muss auf Kontext/Risikoappetit und Portfolio zugeschnitten werden.

Bei starkem Datenmangel sind Ergebnisse zunächst bandbreitenbasiert (Annahmen/Expertenschätzung) und müssen über Validierungsmaßnahmen abgesichert werden.

kritische Standorte (Produktion, Kliniken, Leitstellen), Betreiberpflicht‑Stabilisierung, Ausfallszenarien in TGA/Versorgung, Providerwechsel und Neuverhandlung von SLA‑/Notfallklauseln, Aufbau/Refresh von Notfallplänen und Übungsregimen, sowie Portfolio‑Masterplanung (Investitionen in Redundanz, Modernisierung, Monitoring). Die Relevanz der Lieferketten‑/Supplier‑Dimension als Resilienz‑Disziplin wird explizit hervorgehoben.

Die zentralen normativen Referenzen sind in den Quellenangaben am Ende konsolidiert (DIN EN 15221‑4; DIN EN ISO 41001/41012/41014; DIN ISO 31000; DIN EN ISO 22301/22313; DIN ISO 22320; ISO/TS 22317; ISO 22316).

• DIN EN 15221‑4: Taxonomie, standardisierte Facility‑Produkte, Verbindung zu Kosten-/Facility‑Strukturen, PDCA‑Qualitätszyklus.

• DIN EN ISO 41001: Anforderungen an FM‑Managementsysteme (wirksam/effizient; Stakeholder‑ und Anforderungskonformität).

• DIN EN ISO 41012: strategisches Sourcing, Vereinbarungsmodelle, Rollen/Verantwortlichkeiten, interne/externe Lieferoptionen, FM‑Informationssysteme.

• DIN EN ISO 41014: Entwicklung einer FM‑Strategie (Alignment, Entscheidungen/Daten/Stakeholder).

• DIN ISO 31000: Leitlinien zum Behandeln von Risiken in Organisationen.

• DIN EN ISO 22301 / DIN EN ISO 22313: BCM‑Anforderungen und Anleitung zur Verwendung von ISO 22301.

• DIN ISO 22320: Notfall-/Incident‑Management‑Leitfaden (Gefahrenabwehr/Schadensereignisse).

• ISO/TS 22317: Guidelines für formale, dokumentierte Business‑Impact‑Analyse (BIA).

• ISO‑22316‑Einordnung (Resilienz) inkl. Bewertung, Schwellenwerte, Lückenadressierung: DIN‑Themenübersicht und Bundesquelle zur Integration relevanter Disziplinen.

• Amtliche Risikomatrix‑Logik (Wahrscheinlichkeit/Schwere): Bayerisches Landesamt für Datenschutzaufsicht (Risikostufen).

• BCM‑Begriffe (BIA, RTO, RPO, Notfall vs. Störfall/Katastrophe) aus Lehrmaterial der Universität Ulm.

• Delphi‑Methode (amtlich beschrieben) vom Statistisches Bundesamt

• Resilienz‑Einordnung als Integration von Disziplinen: Physikalisch-Technische Bundesanstalt.

Hinweis: Gewichte sind bewusst als Startwerte formuliert und werden je Portfolio (z. B. klinischer Betrieb vs. Logistik) kalibriert. ISO 22316 fordert explizit Messkriterien/Schwellenwerte sowie die Entscheidung, wie Bewertung/Monitoring in bestehende Prozesse integriert werden.

• Relevanz (R): Beitrag/Schadenpotenzial bezogen auf Kerngeschäft/Standortkritikalität (ISO‑41014‑Alignment‑Denke).

• Eintrittswahrscheinlichkeit (P) und Auswirkung (I): Basiskomponenten einer Risikobetrachtung; amtlich wird Risiko über Wahrscheinlichkeit und Schwere des potenziellen Schadens beschrieben.

• Umsetzbarkeit (U): Aufwand/Komplexität/Abhängigkeiten (z. B. CAPEX‑Intensität, Vertragsfenster).

• Optional (empfohlen): Datenqualität (DQ) als Gate/Modifier (wenn Evidenzen fehlen).

- 1–5: 1 = niedrig, 3 = mittel, 5 = hoch; bei Umsetzbarkeit: 1 = schwer, 5 = leicht.

Wenn (a) Auswirkung = 5 (z. B. Lebensschutz, massiver Compliance‑Verstoß) oder (b) Soll‑Kriterium ist „nicht verhandelbar“ (gesetzlich/vertraglich), dann gilt:

- Priorität mindestens „sofort handeln“, unabhängig von Umsetzbarkeit.

Methodisch ist das konsistent, weil Risiko als potenzieller Schaden plus Wahrscheinlichkeit verstanden wird und „gravierend“ explizit als besondere Kategorie beschrieben wird.

• PI 70–84: planen (Workpackage, Budget/Freigabe)

• PI 50–69: beobachten (Trigger, Monitoring intensivieren)

• PI < 50: delegieren (lineare Verantwortung; geringe Kritikalität)

Legende Maßnahmen: D = delegieren, B = beobachten, P = planen, S = sofort handeln.

Gating: Bei Lebensschutz/Legal/Compliance wird S erzwungen (Worst‑Case), auch wenn die Matrix P anzeigen würde.

• DQ A: evidenzbasiert (Protokolle, Logs, Abnahmen)

• DQ B: plausibilisiert (Stichproben/Expert Review)

• DQ C: Schätzung/Annahme (befristet, mit Validierungsplan)

DIN EN 15221‑4 integriert PDCA ausdrücklich als Prozessdimension (Plan‑Do‑Check‑Act).

ISO‑22316‑Interpretation betont zudem: Ziele festlegen, Bemessungskriterien entwickeln, Reife überwachen, Schwellenwerte bestimmen und entscheiden, wie Monitoring in bestehende Prozesse integriert wird; außerdem soll eine Beurteilung zur Bestimmung der Belastbarkeit erfolgen und es sollen Strategien geprüft werden, um wesentliche Lücken zu adressieren.

• quartalsweise: BIA‑/RTO‑/RPO‑Review für kritische Services; Re‑Priorisierung der Roadmap

• jährlich: Full Gap‑Assessment Refresh (inkl. Stichproben‑Audits, Übungsnachweise, Vertragsreview)

• Go: Top‑Gaps sind priorisiert und finanziell/organisatorisch eingeplant; Worst‑Case‑Gaps sind in Sofortmaßnahmen; Übungs-/Testplan steht; Verantwortlichkeiten sind zugewiesen.

• Go‑mit‑Auflagen: DQ‑C‑Annahmen im kritischen Bereich → Validierungsmaßnahmen verpflichtend (z. B. Restore‑Test, Umschaltprobe, Notfallübung).

• No‑Go: Fehlende Governance/Owner oder Worst‑Case‑Gaps ohne Sofortmaßnahmen; dann zuerst Foundations (RACI, Notfallorganisation, Mindest‑BIA, Mindest‑Kommunikationsplan) schaffen. ISO‑22316 legt nahe, wesentliche Lücken gezielt zu adressieren und Bewertungs-/Überwachungsregelungen zu definieren.

CAFM/IWMS/CMMS (Assets, Wartung, Backlog), ERP/Controlling (Kosten, Budgetfenster), BMS/GLT (Zustände, Alarme, Energie), HSE/GRC (Audits, Betreiberpflichten), Vertrags-/Provider‑Management (SLA‑Klauseln, Eskalationen, Laufzeiten), Versicherungsdokumentation (Deckungssummen, Selbstbehalte), Stakeholder‑Feedback (Umfragen/Interviews).