Policy Management: Digital dokumentiertes Regelwerk

Übersetzt heißt Policy Management so viel wie Richtlinienverwaltung oder Richtlinienmanagement. Genau genommen sind Policies aber mehr als Richtlinien: Sie sind Arbeitsanweisungen, Nutzungshinweise, Verhaltensregeln und vieles mehr. Unternehmen setzen sie auf, um Risiken zu minimieren. Denn Policies definieren einheitliche Standards, an die sich alle Mitarbeiter* organisationsweit halten. Das Policy Management setzt diese Standards auf und überwacht sie – bestenfalls digital.

Lesen Sie in diesem Beitrag, was Policy Management ist und wie es Compliance unternehmensweit fördert.

Was sind Policies?

Policies sind Regelwerke, die das Verhalten innerhalb einer Organisation steuern. Oder anders ausgedrückt: Policies sorgen dafür, dass Mitarbeiter compliant arbeiten. Dafür vereinheitlichen sie Prozesse und Verhaltensweisen. Unternehmen erfassen sie schriftlich in Form von Richtlinien, Prinzipien oder Compliance-Standards. Policies sind also Dokumente, in denen Mitarbeiter Leitlinien nachlesen.

Policies sind zum Beispiel:

Verhaltensregeln
Betriebsvereinbarungen
Dokumente zur Arbeitssicherheit
Arbeitsanweisungen
Sicherheitshinweise (z. B. zur IT-Sicherheit)
Nutzungshinweise (z. B. bei Maschinen)
Prozessbeschreibungen beziehungsweise Workflows
Reiserichtlinien
Arbeitszeitrichtlinien

Damit Mitarbeiter die Policies lesen können, müssen sie zentral verfügbar sein – und zwar so, dass jeder Mitarbeiter weiß, wo er welche Information findet. Genau das ist Aufgabe des Policy Managements.

Was ist Policy Management?

as Policy Management umfasst sämtliche Aktivitäten, die mit Policies verbunden sind – also sie zu entwickeln, zu überprüfen, zu veröffentlichen, zu kommunizieren und zu überwachen. Selten ist eine Abteilung speziell für das Policy Management verantwortlich. Sicherheitsbeauftragte, der Betriebsrat oder Arbeitgeber übernehmen je nach Policy dessen Management.

Übergeordnet ist das Policy Management Teil der Sicherheitspolitik eines Unternehmens. Es gewährleistet, dass Unternehmen rechtliche und regulatorische Anforderungen erfüllen. Gleichzeitig minimiert es Risiken. Die Arbeitszeitrichtlinie sorgt zum Beispiel dafür, dass Mitarbeiter die gesetzlich erlaubte Arbeitszeit nicht überschreiten. Sicherheitshinweise von IT-Systemen minimieren hingegen die Gefahr von Cyber-Angriffen.

Die Aufgaben des Policy Managements auf einen Blick:

erfüllt gesetzliche, regulatorische und Compliance-Anforderungen
vereinheitlicht und wahrt Standards
sorgt für effizientere Abläufe
minimiert Risiken

Wie sieht ein Workflow im Policy Management aus?

Policy Manager wie IT-Sicherheitsbeauftragte verwalten Policies über den gesamten Lebenszyklus. So sieht der Workflow aus:

Schritt 1: Policy entwickeln

Tritt ein neues Gesetz in Kraft, ändern sich Abläufe im Unternehmen oder identifiziert das Unternehmen Compliance-Risiken, entwickeln sie Policies (weiter). In Abstimmung mit Verantwortlichen wie Stakeholdern, Fachabteilungen oder Teams erstellen Policy Manager einen ersten Entwurf. Dieser beinhaltet klare Richtlinien und Ziele. Darüber hinaus steht in der Policy, wer für sie verantwortlich ist.

Schritt 2: Policy überprüfen

Die entwickelte Policy prüft das Policy Management im Anschluss. Zu prüfende Kriterien sind zum Beispiel, ob die Policy alle rechtlichen Anforderungen erfüllt, praktisch umsetzbar ist und Leitlinien lückenlos sowie eindeutig interpretierbar dokumentiert. Das Policy Management schaut also, ob die neue Datenschutzrichtlinie DSGVO-konform ist oder überprüft, ob die neue Arbeitsanweisung in der Praxis umsetzbar ist.

Schritt 3: Policy veröffentlichen

Genehmigte Policies stellt der Policy Manager allen autorisierten Mitarbeitern zugänglich bereit – idealerweise digital über ein Policy-Management-System. Wichtig ist, dass die Policy Inhalte klar und verständlich wiedergibt und in einem benutzerfreundlichen Format vorliegt. Mitarbeiter sollten problemlos auf die Policy zugreifen können.

Schritt 4: Policy den Mitarbeitern erklären

Zugriff allein reicht nicht aus. Mitarbeiter müssen die Policy verinnerlichen. Schulungen und Informationsveranstaltungen helfen dabei. Sie zeigen zum Beispiel, warum die Reiserichtlinie dem eigenen Schutz dient und in welchem Zusammenhang sie zur eigenen Arbeit steht.

In der Kommunikation fordert das Policy Management Mitarbeiter mitunter auf, die Policy zu lesen und zu akzeptieren. Liegt die Policy digital ab, ist der Klick auf „Akzeptieren“ in der Regel mit einem Tracking-Link verbunden. Das vereinfacht die Überwachung. Alternativ zeigen Wissenstests, ob Mitarbeiter die Policy nur gelesen oder auch verinnerlicht haben.

Schritt 5: Policy überwachen

Langfristig überwachen Unternehmen die Policies mittels Audits, Berichten und Analysen. Sie ergeben, ob

Mitarbeiter die Policy konsistent einhalten,
die Policy noch aktuell ist,
die Policy effizient ist und
welche Risiken aus der Policy entstehen.

Bei Risiken oder Verstößen erarbeitet das Policy Management wiederum Maßnahmen. Sie sollen die Einhaltung verbessern und das Risiko von Fehlschlägen minimieren. Braucht die Policy ein Update, beginnt der Workflow von vorne.

Herausforderungen für Unternehmen im Policy Management

Für Unternehmen ist das Policy und Compliance Management mitunter eine Herausforderung. Mit steigender Größe und Internationalisierungsgrad ist auch das Policy Management komplexer. Schließlich reicht es nicht aus, Policies einmal aufzustellen. Gesetze, Vorschriften und interne Prozesse ändern sich – ergo auch die Policies. Up to date zu bleiben, ist essenziell. Veraltete Policies könnten in einer digitalen Arbeitswelt ineffizient oder überhaupt nicht umsetzbar sein.

Selbst wenn Unternehmen Policies zu jeder Zeit aktuell halten, ist noch fraglich, ob sie diese im Unternehmen konsistent anwenden. Monitoring und Audits zeigen auf, inwieweit Mitarbeiter über Policies informiert sind, sie richtig anwenden und sie finden. Daraus lassen sich wiederum Maßnahmen ableiten. Dann handelt es sich um Policy-Based-Management, also auf den Policies basierende Unternehmensentscheidungen.

Zu viele Policies sollte es aber auch nicht geben. Prozesse nur standardisiert zu betrachten, raubt einem Unternehmen Flexibilität. Diese braucht es, um am Markt wettbewerbsfähig zu bleiben. Hier eine Balance zu finden, ist oft schwierig. Digitale Systeme für das Policy Management (Policy-Management-Software) schaffen diesen Spagat.

Digitales Policy Management mit Doxis

In Dokumentenmanagement-Systemen (DMS) verwalten Sie Policies über ihren gesamten Lebenszyklus – vom Entwurf bis zur Archivierung. Alle Arbeitsschritte führen Sie direkt in der Softwarelösung aus. Wählen Sie Doxis als DMS, automatisieren Sie Workflows im Policy Management.

Hey Doxi, wie funktioniert das Policy Management in Doxis?

Policy neu anlegen: Neue Policies legen Sie direkt in Doxis an. Doxis ordnet die Policy dann der passenden elektronischen Akte zu. Eine Policy zum Thema DSGVO befindet sich zum Beispiel in der digitalen Akte „Sicherheitsstandards“ im Unterordner „IT-Datenschutz“.
Policy prüfen: Beteiligte Personen bearbeiten in Doxis die Policy parallel. Dank Versionierung ist immer sichtbar, welche Version des Dokuments die aktuelle ist und wer wann was am Dokument geändert hat.
Policy genehmigen: Genehmigungsprozesse stoßen Sie in Doxis an. Doxis übergibt die Policy den zuständigen Mitarbeitern zur Freigabe, in Deutschland kann das beispielsweise auch der Betriebsrat sein.
Policy an Mitarbeiter senden: Doxis informiert dann Mitarbeiter darüber, die Policy zu lesen und zu bestätigen. Dafür legt das System eine Aufgabe für die Mitarbeiter an, die sie per E-Mail erhalten. Bei Bestätigung durch den Mitarbeiter dokumentiert Doxis den Namen des Mitarbeiters sowie den Zeitpunkt. Dadurch können Unternehmen zweifelsfrei nachweisen, wer die Policy zur Kenntnis genommen hat.
Policy archivieren: Inaktive Policies verwahrt Doxis für Sie im Archiv revisionssicher und zugänglich.

Übrigens: Mit dem Audit Trail in Doxis bilden Sie das Policy Management transparent ab. Es dokumentiert sämtliche Änderungen im Dokument - und das rückverfolgbar. Dadurch behalten Sie zum einen den Überblick, zum anderen weisen Sie nach, dass Sie Anforderungen zu jeder Zeit erfüllt haben.

Mit Policies bleiben Mitarbeiter informiert

Policies sorgen in Organisationen für standardisierte Abläufe, Compliance und Arbeitssicherheit. Für das Risikomanagement des Unternehmens ist das zentral: Nur wenn sich jeder Mitarbeiter an die Policies hält, erfüllen Unternehmen regulatorische und gesetzliche Pflichten. Darum kümmert sich das Policy Management – am besten digital. Lösungen wie Doxis automatisieren das mit Policies einhergehende Dokumentenmanagement so, dass Sie Workflows durchgängig effizient steuern und Pflichten entlang des gesamten Lebenszyklus einer Policy einhalten.

Häufige Fragen zum Policy Management

Was ist eine Policy im Unternehmen?

Eine Policy im Unternehmen ist als Leitlinie oder Regelwerk zu verstehen. Es definiert den regulatorischen und gesetzlichen Rahmen und definiert, wann etwas compliant ist. Beispiele für Policies sind Betriebsvereinbarungen, Verhaltensregeln oder Sicherheitshinweise.

Welche Aufgaben umfasst das Policy Management?

Das Policy Management umfasst den gesamten Prozess, der mit einer Policy einhergeht: die Policy erstellen, prüfen, genehmigen, veröffentlichen, kommunizieren, überwachen und überarbeiten.

Warum sind Policies wichtig?

Policies stellen unternehmensweit sicher, dass Organisationen regulatorische und gesetzliche Pflichten sowie interne Compliance-Anforderungen erfüllen. Die daraus resultierenden standardisierten Verhaltensweisen und Abläufe minimieren unternehmerische Risiken interner Prozesse.