Was ist Gemba? Von Lean zu Sicherheits-Audits

Gemba (現場) ist japanisch und bedeutet wörtlich “der wirkliche Ort” oder “Tatort”. Im Lean-Management wurde der Begriff von Toyota geprägt und steht für den Ort der Wertschöpfung. Ein Gemba Walk ist die strukturierte Begehung dieses Ortes. Wir nutzen den Begriff in der Sicherheits-Auditierung, weil er die Haltung beschreibt, die wir für effektive Audits für notwendig halten: hingehen, sehen, fragen, dokumentieren.

Lean-Origin: Genchi Genbutsu

Im Toyota-Produktionssystem ist Gemba ein zentraler Begriff. Genchi Genbutsu (現地現物) bedeutet “tatsächlicher Ort, tatsächliches Ding” und ist eines der Toyota-Way-Prinzipien. Die Idee: Wer entscheidet, muss verstehen. Wer verstehen will, muss hingehen.

Taiichi Ohno, einer der Architekten des Toyota-Produktionssystems, hat den Gemba Walk in den 1950er Jahren popularisiert. Sein Ansatz: Führungskräfte verbringen Zeit am Ort der Wertschöpfung, nicht im Büro. Nicht um zu kontrollieren, sondern um zu verstehen, was die Mitarbeiter brauchen, um besser zu arbeiten.

In den 1970er und 1980er Jahren wurde der Lean-Ansatz international rezipiert. Heute ist der Gemba Walk in zahlreichen Branchen Standard: Produktion, Gesundheitswesen, Logistik, IT-Operations und zunehmend in der Sicherheits-Auditierung.

Vom Lean zum Sicherheits-Audit

Klassische Sicherheits-Audits sind dokumentenzentriert. Der Prüfer fragt nach dem ISMS-Dokument, dem Notfallplan, dem Berechtigungs-Konzept. Er prüft, ob das Dokument existiert und plausibel ist. Was er nicht prüft: ob das Dokument im Alltag gelebt wird.

Der Gemba Walk in der Sicherheits-Auditierung kehrt das um:

1. Vorbereitung: Klare Fragen vor dem Besuch, abgeleitet aus Risiko-Profil und Norm-Anforderungen.
2. Begehung: Zum Ort gehen. Schichtleiter fragen, was zu tun ist, wenn ein bestimmtes Szenario auftritt. Berechtigungen direkt am Bildschirm prüfen, nicht im SoA-Dokument. Notfall-Aushänge betrachten, statt sich auf die Notfallplan-Datei zu verlassen.
3. Dokumentation: Befunde sofort festhalten, mit Foto, Standort, Kategorie und Risiko-Bewertung. Nicht erst hinterher rekonstruieren.
4. Übergabe: Mit der Geschäftsführung am gleichen Tag die Befunde durchgehen, nicht in einem nachgereichten Bericht.

Was der Gemba Walk findet, das ein Audit oft übersieht

In unserer Praxis sind das die typischen Befunde, die der Gemba Walk liefert und die im Dokumenten-Audit unentdeckt bleiben:

• Regelungen, die im Alltag umgangen werden, weil sie unpraktisch sind (Tür offen gehalten mit Keil, Passwort auf Post-it, gemeinsame Anmeldung am Schichtterminal)
• Notfall-Wissen, das nicht beim Personal angekommen ist: Werkstatt-Schichtleiter, die das ISMS-Dokument nie gesehen haben, obwohl ihre Rolle darin geregelt ist
• Hardware ohne Prozess: Kameras ohne Auswertung, Zutrittssysteme ohne Berechtigungs-Pflege, Alarmanlagen ohne Reaktionsplan
• Lücken zwischen Schichten oder Standorten: was an einem Standort gilt, gilt am anderen nicht, weil die Vorlage nie übersetzt wurde

Strukturierung: Fragen, Beobachten, Bewerten

Ein guter Gemba Walk hat eine Struktur ohne starr zu sein. Wir nutzen acht Kategorien als Rahmen, mit etwa vierzig Basisfragen, die jeder Begehung gestellt werden, plus betriebsspezifischen Ergänzungen:

1. Perimeter und Zugang
2. Innere Zonen und Zutrittskontrolle
3. Technische Überwachung
4. Notfall- und Krisenpläne
5. Organisation und Personal
6. IT-Infrastruktur und Logik
7. Lieferanten und Subunternehmer
8. Dokumentation und Aufzeichnung

Pro Kategorie: offene Fragen (“Was passiert, wenn…”), Beobachtungs-Punkte (“Hier prüfen wir…”), Stichproben am Personal (“Können Sie mir zeigen…”). Die Antworten und Beobachtungen werden direkt vor Ort dokumentiert.

Unser Werkzeug: Die Gemba Walk App

Wir haben für unsere Begehungen ein eigenes Werkzeug entwickelt. Die Gemba Walk App läuft im Browser auf Tablet oder Handy, vor Ort einsetzbar. Sie liefert:

• Acht Kategorien mit den Basisfragen vorab konfiguriert
• Admin-Modus für betriebsspezifische Ergänzungen
• Foto-Anhang pro Befund
• Sofortige Risiko-Bewertung (Eintrittswahrscheinlichkeit, Schadensschwere)
• Export der Befunde direkt in unser Analyse-System S3:Analytics

Damit endet die typische Lücke zwischen Begehung und Bericht. Was am Mittwoch dokumentiert ist, ist am Mittwochabend Teil des Berichts, nicht ein Notizblatt, das am Freitag rekonstruiert wird.

Was Gemba nicht ist

Drei verbreitete Missverständnisse:

“Gemba Walk ist eine Kontrolle”

Im Lean-Sinn ist Gemba nicht Kontrolle, sondern Verstehen. Wer mit Kontrollhaltung kommt, bekommt nicht die Information, die er bräuchte, weil Mitarbeiter dichtmachen.

”Gemba ersetzt das ISMS”

Gemba ersetzt nicht die Dokumentation. Es ergänzt sie. Ein ISMS ohne Gemba ist Papier. Gemba ohne ISMS ist Bauchgefühl. Beides zusammen ergibt eine funktionierende Sicherheits-Praxis.

”Gemba ist Improvisation”

Im Gegenteil. Ein Gemba Walk ohne Vorbereitung ist Wanderung. Ein guter Gemba Walk hat klare Fragen, klare Kategorien, klare Dokumentations-Struktur. Die Improvisation passiert im Detail der Beobachtung, nicht im Aufbau.

Quellen

• Taiichi Ohno, Toyota Production System (1988)
• Jeffrey Liker, The Toyota Way (2003)
• Masaaki Imai, Gemba Kaizen (1997)
• Womack/Jones, Lean Thinking (1996)