Leistungsphase 5 der HOAI

Für das Risikomanagement und die Redundanzplanung gelten verschiedene gesetzliche und normative Vorgaben, die in dieser Prüfung herangezogen werden.

• BSI-Standard 200-3 (Risikomanagement): Dieses vom Bundesamt für Sicherheit in der Informationstechnik herausgegebene Standardwerk bietet ein strukturiertes Verfahren zur Risikoanalyse, insbesondere im IT- und Informationssicherheitsbereich. Der Standard 200-3 hilft, Bedrohungen systematisch zu identifizieren, zu bewerten und mit geeigneten Maßnahmen zu minimieren. Unternehmen, die nach BSI 200-3 vorgehen, schaffen die Grundlage für nachhaltige Sicherheit, da sowohl technische als auch organisatorische Aspekte berücksichtigt werden. In Bezug auf den neuen Standort bedeutet dies, dass auch IT- und Datensicherheitsrisiken (z.B. Cyberangriffe, Systemausfälle) nach diesem Standard analysiert wurden.

• DIN ISO 31000 (Risikomanagement – Leitlinien): Dieser internationale Standard legt Prinzipien und allgemeine Leitlinien für das Risikomanagement fest. ISO 31000 betont, dass die Identifikation und Bewertung von Risiken die Grundlage fundierter Entscheidungen ist. Die Norm beschreibt einen disziplinübergreifenden Ansatz mit definierten Schritten (Risikoidentifikation, -analyse, -bewertung, -behandlung) und fordert, dass Risikomanagement in alle Prozesse integriert wird. Für die Planung bedeutet das, dass ein formaler Risikoprozess durchlaufen wurde, um Entscheidungen transparent und nachvollziehbar zu machen. Die Norm verlangt zudem die Berücksichtigung aller relevanten rechtlichen und regulatorischen Anforderungen sowie bewährter Sicherheitsgrundsätze.

• Aktiengesetz §91 Abs. 2 (KonTraG) und HGB: Für große Unternehmen (insb. Aktiengesellschaften) schreibt das Gesetz vor, ein Überwachungssystem einzurichten, damit bestandsgefährdende Risiken früh erkannt werden. Diese Anforderung aus dem KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) unterstreicht die Pflicht der Unternehmensleitung zu einem funktionierenden Risikomanagement. Entsprechend müssen im Lagebericht Risiken der zukünftigen Entwicklung dargestellt werden; Abschlussprüfer überprüfen dies risikoorientiert. In der Praxis dieser Planung bedeutet das: Das Unternehmen muss nachweisen können, dass es geeignete Maßnahmen zur Risikofrüherkennung und -abwehr getroffen hat. Die Prüfanweisung stellt daher auch die Frage, ob die Risiken am neuen Standort gem. diesen Vorgaben angemessen dokumentiert und kontrolliert werden.

• DIN VDE 0100-710 / VDE 0100-560 (elektrische Sicherheitsversorgung): Diese elektrotechnischen Normen geben Anforderungen an die Sicherheitsstromversorgung in besonderen Bereichen vor. Insbesondere DIN VDE 0100-710 ist relevant für medizinisch genutzte Bereiche (z.B. Labore mit Patientenkontakt oder kritische medizinische Geräte) und fordert u.a. redundante Stromquellen (USV, Netzersatzanlagen) für Lebenserhaltende Systeme. Auch wenn das neue Werk kein Krankenhaus ist, dienen diese Normanforderungen als Benchmark für die Stromausfallsicherheit: Alle sicherheitsrelevanten Anlagen (z.B. Notbeleuchtung, Brandmelde- und Löschtechnik, IT-Serverräume) müssen bei Stromausfall weiterbetrieben werden können. In DIN VDE 0100-560 sind z.B. Kategorien für Sicherheitszwecke-Stromversorgung definiert, die hier zur Anwendung kommen können.

• VDI-Richtlinien 4066 und 6200: Diese Richtlinien des VDI geben branchenspezifische Hinweise zum Risikomanagement. VDI 4066 (Blatt 1-4) befasst sich u.a. mit Hygieneanforderungen und Risikobewertung in Produktionsprozessen (z.B. in der Lebensmittel- und Getränkeindustrie) – relevant, falls in der Produktion des Werks aseptische Verfahren oder strenge Reinheitsvorgaben gelten. VDI 6200 „Standsicherheit von Bauwerken – regelmäßige Überprüfung“ gibt einen Rahmen vor, um bauwerkliche Risiken (z.B. Tragwerksmängel, Alterungsprozesse) über den Lebenszyklus zu managen. Für die Planung bedeutet dies, dass bereits in LPH5 die Standsicherheit aller Bauwerke nach aktuellem Stand der Technik gewährleistet sein muss und Inspektionsintervalle für kritische Strukturen vorgesehen sind. Beide VDI-Richtlinien verkörpern anerkannte Ingenieurstandards, deren Beachtung zur Verkehrssicherheit und Betriebssicherheit der Anlage beiträgt.

• DGUV-Regelwerke (Arbeitssicherheit und Notfallmanagement): Die Deutschen gesetzlichen Unfallversicherungen (DGUV) veröffentlichen Regeln und Informationen, die für die betriebliche Sicherheit relevant sind. Insbesondere verlangt das Arbeitsschutzgesetz i.V.m. DGUV-Vorschriften eine Gefährdungsbeurteilung für alle Arbeitsbereiche. Weiterhin definieren DGUV-Informationen Anforderungen an das betriebliche Notfall- und Krisenmanagement. Beispiel: DGUV Information 208-050 beschreibt, dass ein Notfallmanagement die Festlegung von organisatorischen Strukturen und Verfahrensabläufen zur Minimierung von Risiken und Auswirkungen umfassen muss. Für das neue Werk ist daher zu prüfen, ob entsprechende Notfallorganisation (Alarmpläne, Evakuierung, Erste Hilfe, etc.) geplant ist und ob die Planer Vorgaben der DGUV (z.B. bezüglich Brandschutz, Explosionsschutz, Umgang mit Gefahrstoffen) eingehalten haben. Auch relevante Regeln der Betriebssicherheitsverordnung und der Technischen Regeln für Gefahrstoffe sind hier einschlägig und fließen in die Bewertung ein.

• DIN EN 50600 (Rechenzentrumsinfrastruktur): Diese Normenserie definiert umfassende Anforderungen für Planung, Bau und Betrieb von Rechenzentren – insbesondere hinsichtlich Verfügbarkeit und Redundanz von Stromversorgung, Klimatisierung und Kommunikationsnetzwerken. Sie ist zwar primär für professionelle Rechenzentren gedacht, bietet aber gute Leitlinien für alle kritischen IT- und Facility-Systeme. Die Norm legt präzise Anforderungen an Stromversorgung, Kälte-/Klimatechnik, Telekommunikationsverkabelung und Sicherungssysteme fest; für die Stromversorgung werden z.B. Verfügbarkeitsklassen definiert, die das Redundanzniveau bestimmen. Wichtig ist auch der Grundgedanke der Norm, dass Risikoanalysen und Sicherheitsvorgaben konsequent in allen Planungs- und Umsetzungsschritten berücksichtigt werden. In der Praxisprüfung wird daher geschaut, ob z.B. für Serverräume eine EN 50600-konforme Auslegung (Tier-Klassifizierung o.ä.) gewählt wurde, ob alle IT-Komponenten redundant ausgelegt sind und ob physische Sicherheit (Zugangsschutz, Feuerabschottung) nach diesen aktuellen Maßstäben erfüllt ist.

Diese Aufzählung ist nicht abschließend. Je nach konkreter Nutzung des Standorts können weitere Normen relevant sein (z.B. DIN EN 50574 für Notbeleuchtung, branchenspezifische ISO-Normen etc.). Der Prüfer hat stets den aktuellen Stand der Technik und die geltenden gesetzlichen Bestimmungen zu berücksichtigen. Die oben genannten Grundlagen bieten jedoch einen Rahmen, um die Planung auf Normenkonformität und anerkannte Praxis zu überprüfen. Abweichungen von Normen bedürfen einer besonderen Begründung und Risikoabwägung.

Ein Schwerpunkt der Prüfung liegt auf der Frage, ob ein umfassender Risikomanagement-Prozess durchgeführt und dokumentiert wurde, der alle relevanten Risiken für den neuen Standort abdeckt. In Leistungsphase 5 sollten die Ergebnisse der früheren Risikoanalysen vorliegen und in die detaillierte Planung eingeflossen sein.

• Risikokategorien: Zunächst wird geprüft, ob die Projektbeteiligten eine systematische Risikoidentifikation vorgenommen haben. Dabei müssen betriebliche, technische und infrastrukturelle Risiken gleichermaßen betrachtet worden sein. Typische Risikofelder in diesem Kontext sind z.B.: Betriebsausfälle (z.B. durch Maschinenstillstand, Stromausfall), IT-Ausfälle (Netzwerk, Server), Sicherheitsvorfälle (Einbruch, Sabotage), Unfälle und Haftungsrisiken (Arbeitsschutz), Umweltereignisse (Brand, Hochwasser, Sturm) sowie planungsbezogene Risiken (Kosten-/Terminüberschreitungen). Eine gute Praxis ist die Erstellung eines strukturierten Risikokatalogs oder -registers, in dem alle identifizierten Risiken gelistet sind. Der Prüfer kontrolliert, ob ein solches Dokument vorhanden ist und ob es alle wesentlichen Risikobereiche abdeckt. Insbesondere sollte die branchenspezifische Situation berücksichtigt sein – z.B. besondere Gefahren im Produktionsprozess (Chemikalien, Druckgeräte), im Laborbetrieb (Umgang mit Gefahrstoffen, Biohazards) oder bei der Lagerung (Feuerlasten, Explosionsgefahr).

• Risikobewertung: Für jedes identifizierte Risiko muss eine Bewertung der Eintrittswahrscheinlichkeit und der potenziellen Schadensauswirkung vorgenommen worden sein. Üblich ist hier die Verwendung einer Risikomatrix (z.B. Einstufung von niedrig über mittel bis hoch), um Risikoprioritäten sichtbar zu machen. Der Prüfer stellt sicher, dass eine solche Bewertung dokumentiert ist – etwa in Form von Bewertungen (z.B. Risikowert = Eintrittswahrscheinlichkeit × Schadenshöhe) oder zumindest verbalen Einstufungen (z.B. “hohes Risiko” für einen möglichen Großbrand im Lager, “geringes Risiko” für leichte Schwankungen in der Bürostromversorgung). Wichtig ist, dass die Kriterien der Bewertung definiert wurden (z.B. was gilt als hoher Schaden in Euro oder Personenausfall, welche Eintrittswahrscheinlichkeit wird als “hoch” angenommen etc.). Diese Bewertungskriterien sollten im Risk Management Plan festgehalten sein, um Nachvollziehbarkeit herzustellen.

• Dokumentation von Risikoszenarien: Die Prüfer achten darauf, dass Risikoszenarien und deren mögliche Schadensauswirkungen schriftlich dokumentiert vorliegen. Idealerweise existiert ein Risikobericht oder -register, in dem für jedes Szenario beschrieben ist: Ursache/Gefahrenquelle, betroffene Assets oder Prozesse, potenzielle Folgen (qualitativ und quantitativ, z.B. “Produktionsstillstand 3 Tage, finanzieller Schaden 500.000 €”), sowie aktueller Status der Gegenmaßnahmen. Eine solche Dokumentation ist erforderlich, um später nachvollziehen zu können, warum bestimmte Redundanzen oder Sicherheitsmaßnahmen eingeplant wurden. Sie ist auch Grundlage für fundierte Entscheidungen: Die Identifikation und Bewertung von Risiken bildet die Grundlage guter Entscheidungen. So kann z.B. begründet werden, dass in Anbetracht eines hohen Brandrisikos im Lager bestimmte Löschanlagen redundant vorgesehen wurden.

• Vollständigkeit und Aktualität: Es wird geprüft, ob die Risikoanalyse aktuell ist (z.B. wurden Änderungen in der Planung oder neue Erkenntnisse während LPH5 noch berücksichtigt?) und ob alle Planungsgewerke einbezogen wurden. Risikoidentifikation ist ein interdisziplinärer Prozess – im Idealfall haben Planer aus verschiedenen Fachrichtungen (Bau, TGA, IT, Sicherheit, Produktion) gemeinsam die Risiken erörtert. Der Prüfer kann dies indirekt daran erkennen, ob Risiken quer durch alle Bereiche dokumentiert sind und ob ggf. Workshops oder Sitzungen zum Risikomanagement stattfanden (Protokolle). Sollte die Risikoanalyse Lücken aufweisen (z.B. keine Betrachtung der IT-Risiken oder der Arbeitsunfälle), wäre dies ein Befund, der entsprechend festgehalten wird.

• Bewertung der Risikoakzeptanz: Teil der Risikobeurteilung ist festzustellen, welche Risiken untragbar sind und daher zwingend Maßnahmen erfordern, und welche Risiken ggf. akzeptiert werden können (weil Restrisiko gering oder Maßnahme unverhältnismäßig). Der Prüfer überprüft, ob es schriftlich festgelegte Risikokriterien gibt, die definieren, wann ein Risiko als akzeptabel gilt. Beispielsweise könnte das Unternehmen bestimmt haben, dass Risiken mit Schadenspotenzial >X Euro oder mit Gefahr für Leib und Leben niemals einfach akzeptiert, sondern immer behandelt werden müssen. Die Dokumentation sollte ausweisen, welche Risiken als “akzeptiert” deklariert wurden – und diese Entscheidung muss begründet sein (z.B. Restrisiko eines sehr unwahrscheinlichen Szenarios, das nach Umsetzung aller Maßnahmen verbleibt). Ein Risiko darf nur dann akzeptiert werden, wenn das verbleibende Restrisiko tragbar ist und im Einklang mit definierten Kriterien steht. Andernfalls müsste weitergehende Behandlung erfolgen.

Es gilt es in diesem Abschnitt der Prüfung festzustellen, dass der Planungsprozess eine systematische Risikoidentifikation und -bewertung durchgeführt hat und dass diese als Basis für die konkrete Ausführungsplanung diente. Die Prüfanweisung gibt hierzu in der Checkliste gezielte Fragen vor (z.B. Vorhandensein eines Risikoregisters, Nachvollziehbarkeit der Risikobewertungen etc.).

Nachdem Risiken identifiziert und bewertet wurden, verlangt der gute Standard, geeignete Risikobehandlungsstrategien festzulegen.

• Risikovermeidung: Das Risiko wird ganz vermieden, indem die riskante Aktivität oder Bedingung eliminiert wird. In der Planung kann dies bedeuten, bestimmte gefährliche Verfahren erst gar nicht einzusetzen oder kritische Bereiche anders auszulegen. Beispiel: Hat die Risikoanalyse ergeben, dass ein bestimmter Produktionsschritt ein unbeherrschbares Risiko birgt (z.B. Arbeiten mit extrem toxischen Stoffen), könnte man diesen Prozess auslagern oder anders gestalten, um das Risiko vollständig zu umgehen. Risikovermeidung ist oft die effektivste, aber nicht immer praktikable Strategie – sie kommt in Betracht, wenn Gegenmaßnahmen unverhältnismäßig aufwändig wären und das Risiko zugleich inakzeptabel hoch ist.

• Risikoreduktion (Risikominderung): Hierbei werden Maßnahmen ergriffen, um die Eintrittswahrscheinlichkeit und/oder Schadensausmaß eines Risikos zu reduzieren. Dies ist die im technischen Bereich häufigste Strategie. In der Ausführungsplanung zeigt sie sich z.B. durch technische Schutzmaßnahmen (Brandschutzanlagen, Sicherheitsvorrichtungen, Überwachungs- und Alarmsysteme) oder organisatorische Vorkehrungen (Schulungen, Inspektionen), die das Risiko auf ein akzeptables Maß verringern. Beispiel: Die Gefahr eines Stromausfalls wird durch Einrichtung von USV-Anlagen und Notstromaggregaten reduziert; die Gefahr eines Serverausfalls durch Einrichtung redundanter Server und regelmäßiger Datensicherungen minimiert. Höherwertige Sicherheitsmaßnahmen entsprechend anerkannter Standards kommen hier zum Einsatz. Bei Risikoreduktion prüft man in der Planung, ob die Maßnahmen ausreichend wirksam sind und ob eventuell ein Restrisiko verbleibt, das weiter betrachtet werden muss.

• Risikotransfer (Übertragung): Dabei wird das Risiko ganz oder teilweise auf Dritte übertragen. Klassische Beispiele sind Versicherungen oder Outsourcing: Durch Versicherungsträger können finanzielle Folgen von Schäden abgefedert werden, durch Auslagerung bestimmter riskanter Betriebsfunktionen an spezialisierte Dienstleister kann das operative Risiko übertragen werden. Für das neue Werk ist z.B. relevant: Bestehen Versicherungen für Betriebsunterbrechung, Feuer, Haftpflicht usw.? Wurden kritische Services (etwa die IT-Services, Cloud-Lösungen) an Anbieter ausgelagert, die dann vertraglich für Ausfallsicherheit sorgen? Der Prüfer sollte feststellen, ob solche Transfers geplant sind und ob sie vertraglich eindeutig geregelt wurden (Verträge mit Notfallklauseln, Service Level Agreements etc.). Risikotransfer reduziert zwar nicht die Eintrittswahrscheinlichkeit, aber verteilt das Schadensrisiko. Wichtig: Übertragene Risiken müssen weiterhin beobachtet werden (z.B. bleibt das Restrisiko, dass ein Versicherer gewisse Schäden nicht abdeckt, bestehen).

• Risikoakzeptanz: Hier wird entschieden, keine besonderen Maßnahmen zu ergreifen, weil das Risiko als hinreichend gering eingestuft wird oder Gegenmaßnahmen unwirtschaftlich bzw. nicht verfügbar sind. Akzeptanz bedeutet, das Restrisiko bewusst zu tragen. Diese Strategie darf nur angewandt werden, wenn das Unternehmen sicher ist, dass das Eintreten des Risikos verkraftbar ist. In der Dokumentation sollte für akzeptierte Risiken vermerkt sein, warum sie akzeptiert wurden (z.B. “Restrisiko eines 500-jährlichen Naturereignisses – wird akzeptiert”). Die Prüfer achten insbesondere darauf, dass keine kritischen Risiken ungeklärt akzeptiert wurden. Gegebenenfalls muss für solche Fälle ein Notfallplan bestehen, der das Vorgehen beschreibt, falls das Risiko doch eintritt (z.B. Notfallprozeduren bei Ausfall einer nicht redundanten Anlage). Aus der Sicht der Normen (ISO 31000, BSI etc.) ist Risikoakzeptanz nur vertretbar, wenn die Entscheidungskriterien klar definiert sind und das Top-Management die Verantwortung dafür übernimmt.

In der Ausführungsplanung sollten für alle wesentlichen Risiken konkrete Risikobehandlungsmaßnahmen nach obigen Strategien vorgesehen sein. Die Prüfer werden zum Beispiel schauen: Wurde für jedes hohes Risiko aus der Analyse eine Risikobehandlungsentscheidung getroffen? Ist diese in den Planungsunterlagen nachvollziehbar? (Etwa: Risiko Stromausfall – Maßnahme: Notstromanlage + USV, Risiko Datenverlust – Maßnahme: Backup-Rechenzentrum, Risiko Bedienfehler – Maßnahme: Schulung und 4-Augen-Prinzip etc.) Wichtig ist auch der Mix der Strategien: Oft werden Kombinationen angewandt (z.B. Risikoreduktion durch Technik und Transfer durch Versicherung). Der Prüfer stellt sicher, dass die Wahl der Strategien plausibel ist und zum Risiko passt. Bei sehr gravierenden Risiken (z.B. vollständige Zerstörung der Produktion durch Großbrand) erwartet man mehrere parallele Strategien: baulicher Schutz (Brandmauer), technische Schutzsysteme (Sprinkler, Alarm), Versicherung und Notfallplan (Ersatzproduktion anderswo). Es muss die Ausführungsplanung zeigen, dass für jedes identifizierte hohe Risiko eine angemessene Behandlung vorgesehen wurde – entweder in Form von Redundanz, technischem Schutz oder organisatorischer Vorbereitung. Was ohne spezielle Maßnahme bleibt, muss als akzeptiertes Restrisiko ausgewiesen sein. Dieser Zusammenhang wird in der Prüfung anhand der Dokumentation und der geplanten Einrichtungen nachvollzogen.

Ein Kernthema dieser Prüfanweisung ist die Kontrolle der technischen Redundanzkonzepte. Redundanzen stellen sicher, dass der Ausfall einer Komponente nicht zum Ausfall der gesamten Funktion führt. In der Ausführungsplanung müssen alle kritischen technischen Systeme redundant oder ausfallsicher ausgelegt sein.

• Stromversorgung: Für die elektrische Versorgung des Standorts ist ein Notstromkonzept erforderlich. Es wird geprüft, ob eine Netzersatzanlage (NEA) vorgesehen ist, die bei Stromausfall die Versorgung übernehmen kann (z.B. Dieselgenerator mit automatischer Zuschaltung). Ebenfalls relevant ist der Einsatz von USV-Anlagen (Unterbrechungsfreie Stromversorgung) für besonders sensible Verbraucher (Rechenzentrum, sicherheitsrelevante Steuerungen), um die Zeit bis zum Generatorstart zu überbrücken. Idealerweise hat der Standort zwei unabhängige Einspeisungen aus dem Mittel- oder Niederspannungsnetz (falls verfügbar), um externe Versorgungsredundanz zu erzielen. Der Prüfer kontrolliert einpolige Schaltpläne und Ausstattung: Sind redundante Transformatoren eingeplant? Gibt es getrennte Stromschienen/-kreise für unterschiedliche Bereiche, um Lasten zu verteilen? Werden Wartungs- und Prüfmöglichkeiten berücksichtigt (z.B. Netzersatz-Probekäufe, Bypass-Schaltungen an der USV) so dass Redundanz im Notfall auch tatsächlich funktioniert? Falls zutreffend, wird auch geprüft, ob die elektrische Redundanz den Anforderungen aus Normen wie DIN VDE 0100-710 entspricht (z.B. 2 getrennte Versorgungswege in kritischen Räumen). Zudem achtet der Prüfer auf Selektivität und Schutzkonzepte: Ein Fehler in einem Teil des Netzes darf nicht das gesamte Netz lahmlegen (Stichwort: Lastabwurfszenarien, Reserven). Insgesamt muss dokumentiert sein, dass bei Ausfall des Hauptstromnetzes die Sicherheitsstromversorgung für definierte Zeit (z.B. 24 Stunden) aufrechterhalten werden kann.

• IT-Infrastruktur (Netzwerk und Server): Die digitale Infrastruktur muss hochverfügbar geplant sein. Der Prüfer sieht nach, ob Netzwerkredundanz gegeben ist – etwa durch zwei physisch getrennte Datenleitungen ins Gebäude (im Idealfall von unterschiedlichen Providern oder Trassen), um Internet/Konnektivität auch bei Leitungsausfall sicherzustellen. Innerhalb des lokalen Netzwerks sollten zentrale Komponenten redundant vorhanden sein: Redundante Switche und Router, evtl. in Ring-Topologie oder mit automatischem Failover (Stichwort: HSRP/VRRP-Protokolle bei Routern). Wurden Server-Systeme geplant, ist zu prüfen, ob Server-Redundanz oder Cluster-Lösungen vorgesehen sind (etwa zwei redundante Server für kritische Anwendungen, Spiegelung von Datenbanken etc.). Eine Ausfallanalyse der IT sollte zeigen, dass kein Single-Point-of-Failure unbeachtet bleibt – z.B. Stromversorgung der Serverräume über zwei getrennte Stromkreise (die wiederum USV-gesichert sind), duale Netzwerkpfade, ggf. Redundanz in der Speichersystemen (RAID, SAN mit zwei Controllern). Auch Backups und Datenredundanz zählen dazu: In der Planung könnten z.B. getrennte Backup-Systeme oder ein zweiter Standort für Datenvorhaltung (Disaster Recovery Site) berücksichtigt sein. DIN EN 50600 fordert beispielsweise solche Maßnahmen, um die Verfügbarkeit von IT-Diensten sicherzustellen. Der Prüfer stellt auch sicher, dass die Klimatisierung im Serverraum redundant ist (siehe nächster Punkt), da IT-Systeme ohne Kühlung schnell ausfallen könnten.

• Kommunikationssysteme: Unter Kommunikation fallen Telefonie, betriebliche Funk-/Alarmierungsanlagen und sonstige Kommunikationstechnik. Hier prüft man, ob Telefonsysteme redundant ausgelegt sind (z.B. VoIP-Systeme auf zwei Server verteilt, Notfalltelefon analog vorhanden) und ob wichtige Kommunikationswege (z.B. betriebliche Alarmierungsanlagen, Durchsagesysteme) eine Notstromversorgung oder Backup besitzen. Gibt es etwa bei Ausfall der internen Telefonanlage alternative Wege, die Mitarbeiter zu erreichen (zum Beispiel ein Notfall-Meldeweg via Mobiltelefon oder Alarmknopf)? Für externe Kommunikation ist wichtig, dass mindestens zwei Netze zur Verfügung stehen (z.B. Festnetz und Mobilnetz, oder zwei Anbieter), damit im Ernstfall Hilferufe, Feuerwehralarm etc. abgesetzt werden können. Alarmierungssysteme wie Brandmeldeanlagen haben in der Regel Batterie-Puffer – der Prüfer kontrolliert, ob solche Batterien dimensioniert und geplant sind (DIN VDE 0833 fordert z.B. 72h Überbrückung für Brandmelderzentralen). Für Evakuierungsdurchsagen oder Funkgeräte sollte es Redundanzen (Ersatzgeräte, Ersatzakkus) geben. Die Notfallkommunikation (z.B. mit Behörden, Feuerwehr) muss ebenfalls betrachtet sein: sind Meldestellen doppelt ausgeführt (Haupt- und Nebenfeuerwehrlaufkarte, zwei Alarmwege aus der Brandmeldezentrale – primär über Telefon, sekundär über Funk)? Entsprechende Planungsdetails sind in den Unterlagen (Brandschutzkonzept, Alarmplan) zu suchen und vom Prüfer gegenzuhalten.

• Sicherheits- und Überwachungstechnik: Hierunter fallen Brandmeldeanlagen, Einbruchmeldeanlagen, Zutrittskontrollsysteme, Videoüberwachung, Notrufsysteme etc. Die Prüfung schaut, ob diese Systeme ausfallsicher konzipiert sind. Beispielsweise: Brandmeldezentrale redundant (ggf. ringförmige Verkabelung der Melderlinien, damit bei Kabelbruch nicht alle Melder ausfallen), redundante Alarmwege (siehe oben), Notstromversorgung wie erwähnt. Zutrittskontrollanlagen sollten so ausgelegt sein, dass bei Störung zumindest ein Grundbetrieb aufrechterhalten bleibt (z.B. Türöffnung im Notfall per Schlüssel als Fallback). Einbruchmeldeanlagen haben i.d.R. Sabotageerkennungen und Akkus – sind diese vorgesehen? Videosysteme: Sind wichtige Kameras doppelt vorhanden oder überwachen sich gegenseitig? Wichtiger: Sind die Aufzeichnungen redundant (z.B. Speicherung auf zwei Rekordern oder in der Cloud zur Sicherheit)? Falls das Werk über kritische Sicherheitseinrichtungen verfügt (z.B. eine Alarmempfangszentrale), muss diese in einem geschützten, redundanten Raum geplant sein. Auch Sicherheitsbeleuchtung (Notbeleuchtung) ist zu prüfen: Ist eine Ersatzbeleuchtung installiert, die bei Netzausfall Fluchtwege erhellt (Anforderungen nach DIN EN 60598-2-22 bzw. Arbeitsstättenrichtlinie sind hier einschlägig)? Zusammengefasst sucht der Prüfer nach jedem System, das dem Schutz von Personen und Anlagen dient, und vergewissert sich, dass dessen Funktion auch bei Ausfall einzelner Komponenten gewährleistet bleibt – sei es durch zweite Geräte, Schleifenarchitektur oder Pufferbetrieb.

• Gebäudetechnik (HLK & Sonstiges): In der technischen Gebäudeausrüstung (Heizung, Lüftung, Klima – HLK) sind Redundanzen vor allem dort wichtig, wo ein Ausfall unmittelbar zu Sachschäden oder Betriebsstörungen führen würde. Der Prüfer prüft z.B. die Kälte- und Klimaanlagen: Gibt es bei raumlufttechnischen Anlagen für Serverräume oder Labore eine doppelte Ausführung? Oft wird nach dem N+1-Prinzip geplant: d.h. es läuft z.B. 1 von 2 Kältemaschinen (100% Backup) oder 2 von 3 (wenn eine ausfällt, schaffen die anderen 2 noch die Last). Solche Angaben sollte das TGA-Konzept enthalten. Bei Lüftungsanlagen in sensiblen Bereichen (z.B. Labore mit Abluftfiltern) könnte Redundanz bedeuten: Zwei Ventilatoren parallel, von denen einer im Störfall übernimmt. Heizungsanlagen: Sind mehrere Wärmeerzeuger vorhanden (z.B. Doppelkesselanlage) oder gibt es zumindest eine Notheizung, falls der Hauptkessel ausfällt? In Produktionshallen könnte auch Druckluft- und Kühlsysteme zur Gebäudetechnik zählen – Redundanz hierzu wird im nächsten Abschnitt eigens betrachtet. Weiterhin achtet die Prüfung auf Brandschutztechnik: Die Sprinkleranlage z.B. hat oft zwei Feuerlöschpumpen (eine elektrisch, eine dieselbetrieben) – ist das eingeplant? Gibt es Vorratsbehälter, falls die städtische Wasserversorgung ausfällt? Andere Feuerlöschsysteme (Gaslöschanlage für Serverraum) – sind diese zusätzlich zu Sprinklern vorhanden (Diversifizierung)? Pumpsümpfe und Drainage: Hat die Gebäudeentwässerung Doppelpumpen mit Alarmierung? Klima in Lagern: Brauchen ggf. Temperatur-geführte Lager (z.B. Kühlhaus) Backup-Aggregate? All diese Punkte liest der Prüfer aus den Planungsdokumenten (Schemazeichnungen, technischen Beschreibungen) heraus. DIN EN 50600-2-2 etwa fordert für Rechenzentren redundante Kühlversorgung – solch ein Prinzip sollte hier analog Anwendung finden.

• Physische Trennung redundanter Systeme: Ein oft übersehener Aspekt: Redundanz nützt wenig, wenn die redundanten Komponenten vom selben Ereignis zerstört werden können. Daher überprüft der Prüfer auch die räumliche/physische Verteilung: Sind z.B. redundante Kabelstränge in getrennten Wegen/Trassen verlegt, sodass ein einzelner Brand oder Bauunfall nicht beide trifft? Befinden sich redundante Geräte (z.B. zwei Server, zwei USV, zwei Sprinklerpumpen) in getrennten Räumen oder wenigstens Brandabschnitten? Ist der redundante Serverraum ggf. an anderem Standort (für Extremfall Gebäudeschaden)? Solche Aspekte fallen unter Single Point of Failure durch gemeinsame Ursache. Die Planung sollte Konzepte wie Brandschottungen, verteilte Technikzentralen und getrennte Leitungswege vorsehen. Der Prüfer achtet in Plänen auf Angaben wie “geografisch getrennt” oder verschiedene Raumkennzeichnungen für redundant aufgeführte Geräte.

Im Ergebnis dieses Prüfschritts soll sichergestellt sein, dass technische Ausfallsicherheit gewährleistet ist. Kein einzelner Komponentenausfall darf zum Stillstand eines kritischen Prozesses führen. Die Checkliste enthält entsprechende Prüfpunkte für jedes Gewerk (Elektro, IT, HVAC, Sicherheit), um dies zu verifizieren.

Neben den technischen Anlagen im Gebäude selbst müssen auch die Versorgungsmedien betrachtet werden, die für die Produktion und den Betrieb essenziell sind. Die Ausführungsplanung sollte Konzepte enthalten, wie bei Ausfall einer Versorgung ein Weiterbetrieb oder zumindest ein kontrollierter Ausfall ohne größere Schäden möglich ist.

• Druckluft: In vielen Produktionsbetrieben ist Druckluft ein kritisches Medium (z.B. für Steuerungen, pneumatische Werkzeuge, Förderanlagen). Das Redundanzkonzept fragt hier: Gibt es mehrere Kompressoren, so dass bei Ausfall eines Aggregats die anderen die Versorgung übernehmen können? Oft wird ein Hauptkompressor und ein Reservekompressor (1+1 Redundanz) vorgesehen, oder mehrere in Stufenschaltung (N+1). Ebenso wichtig: Sind die Druckluftspeicher ausreichend bemessen, um kurzzeitige Ausfälle zu puffern? Wurde die Rohrleitungsverteilung in Ringleitung ausgeführt, so dass bei Leitungsbruch Absperrungen greifen und alternative Versorgungswege offen bleiben? Der Prüfer prüft Fließschemata der Druckluftversorgung und Anlagenlisten. Falls Druckluft absolut kritisch ist, könnte vorgesehen sein, im Notfall externe mobile Kompressoren anzuschließen – gibt es dafür Anschlüsse/Pläne? Auch die Energieversorgung der Kompressoren (Strom) sollte über Notstrom laufen, falls Druckluft unabdingbar für Sicherheit oder Prozess ist (z.B. pneumatische Sicherheitssysteme).

• Gasversorgung: Bezieht die Anlage Erdgas (etwa für Heizung, Prozessöfen oder BHKW), muss bewertet werden, wie ein Gasausfall kompensiert werden kann. Da ein Ausfall des öffentlichen Gasnetzes selten ist, geht es eher um Redundanz durch Alternativbrennstoffe: Ist die Heizungsanlage z.B. dual ausgelegt (Gas und Heizölbetrieb möglich)? Gibt es für produktionsrelevante Gasverbraucher Ersatzsysteme (z.B. elektrische Erwärmung als Backup)? Der Prüfer liest im Heizungs- bzw. Prozesswärme-Konzept nach, ob Notfallpläne existieren, wenn Gas wegfällt – z.B. ein bevorrateter Öltank, um für einige Tage überbrücken zu können. Ferner: Sind Gasdruckregelanlagen redundant (parallel geschaltete Regler) oder zumindest zweipfadig, damit bei Störung ein Pfad noch arbeitet? Bei kritisch kontinuierlichen Prozessen könnte sogar eine zweite Gasanschlussleitung von einem anderen Netzabschnitt erwogen werden – in der Praxis aber selten. Falls das Werk eigene Gasbehälter (Tanklager) betreibt, prüft man Redundanz in Pumpen/Reglern analog zu anderen technischen Anlagen.

• Wasserversorgung: Wasser wird benötigt für Löschanlagen, Kühlung, Sanitär und evtl. Produktion. Der Prüfer klärt, ob es zwei unabhängige Einspeisungen aus dem Trinkwassernetz gibt (manche Kommunen bieten Ringnetze oder zwei Anschlüsse aus verschiedenen Versorgungsbezirken). Wenn nein, muss zumindest für Löschzwecke ein ausreichender Löschwasservorrat (z.B. Untergrundtank oder Hochbehälter) vorhanden sein, wie es die Brandschutzkonzepte vorsehen. Für die Prozess- oder Kühlwasserversorgung: Ist ein Notvorrat an Wasser eingeplant oder eine alternative Quelle (z.B. eigener Brunnen) bei längerem Versorgungsausfall? Bei Kühltürmen oder Rückkühlwerken achtet man auf Redundanz in Wasserpumpen und möglicherweise auf eine zweite Speisung. Die Sanitärversorgung (Trinkwasser) ist weniger kritisch für Kurzzeitausfälle, dennoch sollte überlegt sein, wie bei Ausfall der Wasserversorgung die sanitären Einrichtungen funktionsfähig bleiben (z.B. Tankwagen, mobile WCs im Notfallplan – dies aber eher betrieblich als planerisch relevant). Der Prüfer vergewissert sich, dass insbesondere für den Brandschutz die Versorgung ausfallsicher ist: Sprinkler benötigen normalerweise zwei unabhängige Versorgungswege (Stadtwasser + Tank, Pumpe + Reservepumpe). Entsprechende Details im Brandschutzplan werden kontrolliert.

• Weiteres (sonstige Medien): Je nach Standort können noch andere Versorgungen kritisch sein: Dampf (wenn für Produktion gebraucht – dann Redundanz z.B. durch mehrere Kessel), Druckwasser/Hydraulik, Kühlmittel in geschlossenen Kreisläufen (Redundanz der Kühler/Pumpen bereits oben erwähnt), Elektrizität (wurde ausführlich bei Technik behandelt), Fernwärme (falls genutzt, evtl. ein Heizkessel als Backup). Auch Abwasser-Systeme können kritisch sein (Überflutung bei Pumpenausfall – daher Doppelpumpen). Der Prüfer sollte hier anhand der Prozessbeschreibungen des Werks ermitteln, welche Medien absolute Voraussetzung für Weiterbetrieb sind, und dann prüfen, ob entweder eine Redundanz vorgesehen ist oder ob ein Notfallplan besteht, der einen geordneten Shutdown bei Versorgungsverlust ermöglicht.

Es gilt: Kritische Versorgungen müssen entweder redundant abgesichert oder durch Notfallmaßnahmen abgedeckt sein. Die Planungsunterlagen (z.B. technische Berichte) sollten aufzeigen, welche Vorsorge getroffen wurde. Der Prüfer dokumentiert fehlende Redundanzen als Abweichung, sofern dadurch ein wesentliches Risiko unkontrolliert bliebe.

Technische Maßnahmen alleine genügen nicht – das organisationale Risikomanagement und die betriebliche Resilienz sind ebenso Teil der Ausführungsplanung, soweit sie in Aufbau- und Ablauforganisation vorbereitet werden können.

• Notfall- und Alarmpläne: Es wird geprüft, ob organisatorische Notfallpläne erstellt wurden, die auf die bauliche und technische Ausstattung abgestimmt sind. Ein Notfallmanagement umfasst die Festlegung von organisatorischen Strukturen und Verfahrensabläufen zur Minimierung von Risiken und Schadensauswirkungen. Der Prüfer erwartet z.B. einen Alarm- und Gefahrenabwehrplan für den Standort, der beschreibt, wer im Ereignisfall welche Aufgaben übernimmt (Alarmierungskette, Evakuierungsleitung, Ersthelfer, Feuerwehreinweisung etc.). Bereits in LPH5 sollten solche Konzepte mitgedacht sein: Sind z.B. die Flucht- und Rettungswege in den Plänen korrekt eingezeichnet und ausreichend dimensioniert? Gibt es Sammelplätze draußen, die im Plan vermerkt sind? Wurden Feuerwehranfahrtszonen geplant? Der Brandschutzplan sollte Notfallwege, Löscheinrichtungen, Feuerwehrpläne etc. beinhalten. Außerdem achtet der Prüfer darauf, ob Schnittstellen zu externen Helfern (Feuerwehr, Katastrophenschutz) organisatorisch geklärt sind – etwa durch Abstimmung mit der örtlichen Feuerwehr über besondere Risiken (Chemikalienlager etc.) und ob das in den Unterlagen notiert ist.

• Personal & Schulung: Ein resilientes System braucht ausgebildetes Personal, das im Notfall richtig reagiert. Die Planung kann Schulungserfordernisse zwar nur bedingt festlegen, aber der Prüfer kann prüfen, ob im Betriebskonzept vorgesehen ist, Personal für den Umgang mit kritischen Anlagen zu schulen (z.B. Bedienung der Sprinklerpumpen, Notabschaltungen, Erste-Hilfe-Schulungen). Zudem ist eine Vertretungsregelung wesentlich: Sind für alle sicherheitskritischen Funktionen (z.B. Sicherheitsingenieur, Elektrofachkraft für Notstrombetrieb, Laborleitung im Gefahrstoffbereich) Stellvertreter benannt, so dass bei Personalausfall Wissen erhalten bleibt? In der Planungsdokumentation mag dies in einem Betriebskonzept oder Organisationsplan angedeutet sein. Der Prüfer könnte hier auch hinterfragen, ob ein Risikomanager oder Notfallmanager bestimmt wurde, der die Fäden zusammenhält. Organisatorisch wird ebenfalls erwartet, dass Übungen und Tests der Notfallpläne geplant sind (Probealarme, Evakuierungsübungen) – in LPH5 ggf. als Hinweis im Sicherheitskonzept. Auch Wartungspläne für sicherheitsrelevante Anlagen (z.B. monatlicher Notstromtestlauf, jährliche USV-Wartung) sollten vorhanden sein; deren Fehlen würde ein organisatorisches Risiko darstellen, dass Redundanzen im Ernstfall versagen.

• Lieferanten und Dienstleister: Ein oft kritischer Punkt ist die Abhängigkeit von Zulieferern. Die Prüfer bewerten, ob das Unternehmen für wichtige Betriebsmittel und Dienstleistungen Ausweichmöglichkeiten geplant hat. Beispielsweise: Gibt es für zentrale Rohstoffe oder Vorprodukte einen Zweitlieferanten, der im Falle eines Ausfalls des Hauptlieferanten einspringen kann? Wurde in der Planung berücksichtigt, Lagerkapazitäten für wichtige Materialien vorzuhalten, um Unterbrechungen zu überbrücken? Im Bereich IT: gibt es Wartungsverträge mit garantierten Reaktionszeiten, und wenn ja, auch mit redundanten Partnern (z.B. falls ein Dienstleister ausfällt)? Falls das Werk auf kontinuierliche Versorgung (Chemikalien, Ersatzteile für Maschinen) angewiesen ist, prüft man, ob Lieferverträge oder Notfalllager existieren. Diese Dinge sind oft im Beschaffungs- und Organisationskonzept des Betreibers verankert, aber schon in der Planungsphase sollte Bewusstsein dafür herrschen (z.B. räumliche Vorbereitung für ein Ersatzteillager, Diversifikation der Beschaffung). Der Prüfer kann Indizien wie Verträge, Konzepte oder Hinweise in Protokollen suchen, die auf ein Lieferanten-Risikomanagement schließen lassen.

• Betriebliches Kontinuitätsmanagement: Über die akute Notfallplanung hinaus sollte eine Business Continuity Planung skizziert sein. Dazu zählt z.B.: Falls ein Gebäude oder eine Produktionseinheit ausfällt, gibt es Pläne, temporär auszuweichen (andere Standorte, Schichtverlagerung)? Sind kritische Geschäftsprozesse identifiziert und priorisiert (z.B. Aufrechterhaltung der IT, der Kommunikation mit Kunden etc.)? In LPH5 könnten solche Überlegungen im Betriebskonzept oder in Management-System-Dokumenten niedergeschrieben sein. Der Prüfer wird zwar hauptsächlich bauliche/technische Unterlagen prüfen, aber sofern Betriebskonzepte vorliegen, schaut er, ob etwa im Organisationshandbuch des neuen Standorts Kapitel zur Notfallorganisation und Wiederanlaufplanung vorhanden sind. Risikoüberwachung gehört auch dazu: Gibt es Mechanismen, künftig Risiken laufend zu beobachten (z.B. Kennzahlen, Sensoren für Überwachung kritischer Parameter)? Die Planungsdokumentation könnte z.B. vorsehen, dass ein zentrales Leitstand-System eingerichtet wird, das Störmeldungen aller wichtigen Anlagen sammelt, um schnell reagieren zu können.

• Versicherungen und Haftung: Obwohl eher ein kaufmännisch-juristisches Thema, ist es im Kontext Risikotransfer relevant: Der Prüfer kann anmerken, ob adäquater Versicherungsschutz gegen die identifizierten Risiken eingeplant ist. Dazu könnten Feuerversicherung, Betriebsunterbrechungsversicherung, Haftpflicht für Umweltschäden etc. gehören. Im Idealfall liegt dem Plan ein Versicherungs-Konzept oder eine Empfehlung zugrunde (ggf. hat ein Versicherungsexperte die Pläne begutachtet, woraufhin gewisse Maßnahmen ergriffen wurden, um Versicherungsauflagen zu erfüllen – z.B. Einbau bestimmter Sprinkler für Prämienrabatt). Organisatorisch muss geklärt sein, wer Schadensfälle meldet und welche Nachweise (Dokumentation der Sicherheitseinrichtungen) geführt werden müssen. Dies streift den Prüfungsumfang, aber der Vollständigkeit halber sei es erwähnt.

Es bewertet dieser Abschnitt der Prüfung, ob der Mensch-Organisation-Faktor angemessen adressiert ist: Die beste Technik nützt wenig ohne geschulte Menschen und durchdachte Prozesse. Resilienz entsteht erst durch das Zusammenspiel von redundanter Technik und reaktionsfähiger Organisation. Die Prüfanweisung fordert daher, dass Planungsunterlagen den risikoorientierten organisatorischen Maßnahmen Rechnung tragen – sei es durch entsprechende Kapitel in Berichten oder durch Schnittstellenbeschreibungen zwischen Technik und Organisation (z.B. wer hat Schaltberechtigung für die USV, wie ist die Rufbereitschaft organisiert etc.).

Ein wesentliches Qualitätsmerkmal ist die Systematik und Transparenz, mit der Risikoerkenntnisse in der Planung umgesetzt wurden.

• Abgleich Risiko vs. Maßnahme: Für jedes wesentliche Risiko aus der Analyse muss in den Ausführungsunterlagen eine entsprechende Maßnahme auffindbar sein. Die Prüfer erstellen hierzu ggf. eine Traceability-Matrix: Jede Risikoposition (z.B. "Totalausfall Netzwerk durch Hardwarefehler") wird der geplanten Gegenmaßnahme ("Redundante Switches, automatisches Failover konfiguriert") zugeordnet. Wenn ein Risiko ohne Maßnahme geblieben ist, sollte es als akzeptiertes Restrisiko deklariert sein. Umgekehrt sollten keine aufwändigen Sicherheitsmaßnahmen im Plan vorkommen, für die es kein identifiziertes Risiko gibt – sonst wäre die Planung unwirtschaftlich. Die Dokumentation sollte idealerweise explizit solche Zuordnungen enthalten, etwa im Risikobericht ein Kapitel „Umgesetzte Maßnahmen“ mit Verweisen auf Plan-Dokumente (Zeichnungsnummern, Gerätenummern etc.). Der Prüfer prüft stichprobenartig diese Verknüpfungen. Kernelement ist Nachvollziehbarkeit: warum wurde eine bestimmte Redundanz eingeplant? – Die Antwort muss in der Risikoanalyse liegen.

• Dokumentenabgleich: Es wird kontrolliert, ob die Planungsdokumente konsistent zur Risikoanalyse sind. Beispiel: Die Risikoanalyse fordert zwei getrennte Stromkreise für Gebäude X. In den Ausführungsplänen Elektro muss das umgesetzt sein (zwei Einspeisepunkte im Schema, zwei UV-Verteilungen etc.). Oder: Risikoanalyse erkennt hohes Ausfallrisiko der Kühlung – in der TGA-Planung muss darauf reagiert worden sein (Reservekühlgerät vorgesehen). Der Prüfer vergleicht insbesondere das Sicherheitskonzept, Brandschutzkonzept, Notstromkonzept etc. mit den technischen Zeichnungen. Widersprüche (z.B. Konzept spricht von Dieselgenerator, Plan enthält keinen) wären Befunde. Die Planung muss in sich schlüssig sein und alle risikobezogenen Anforderungen integriert haben.

• Vollständigkeit der Umsetzung: Weiter wird bewertet, ob alle identifizierten Risiko-Handlungsempfehlungen tatsächlich umgesetzt wurden. Oft entstehen aus einer frühen Risikoanalyse Maßnahmenlisten. Der Prüfer kann prüfen, ob jede Maßnahme entweder in der Planung berücksichtigt oder begründet verworfen wurde. Sollte z.B. empfohlen worden sein, ein zweites Lagergebäude als Backup zu errichten, dies aber in LPH5 nicht auftauchen, müsste dokumentiert sein, dass das Unternehmen dieses Risiko doch akzeptiert oder anders mitigiert hat. Jede Lücke zwischen Analyse und Umsetzung ist zu rechtfertigen. Der Prüfbericht wird solche Lücken benennen.

• Normenkonforme Dokumentation: Die Rückverfolgbarkeit ist auch ein Kriterium der Normenkonformität. Etwa fordert ISO 31000 eine transparente Entscheidungsfindung und Dokumentation der Risk Treatments. BSI-Standard 200-3 ebenso erwartet eine Dokumentation jeder Entscheidung zur Risikobehandlung. Der Prüfer achtet darauf, dass die Risiko-Dokumentation revisionssicher geführt wurde, d.h. Änderungen nachvollziehbar sind, Freigaben erfolgt sind und Verantwortliche benannt sind. Im Idealfall hat die Geschäftsführung die Risikoanalyse und die daraus abgeleiteten Maßnahmen genehmigt – das würde im Dokument ersichtlich sein (Unterschriftenblatt o.Ä.). Gerade im Hinblick auf die Betreiberverantwortung (vgl. KonTraG/AktG) ist dies wichtig: Im Falle eines Schadenfalls muss nachgewiesen werden können, dass pflichtgemäß gehandelt wurde.

• Kontinuität und Monitoring: Zwar liegt der Fokus auf LPH5 (Planung), doch der Blick geht auch darüber hinaus: Ist vorgesehen, dass das Risikomanagement fortgeschrieben wird? Etwa: Wurde ein Verfahren etabliert, um nach Inbetriebnahme Risiken neu zu bewerten, Erfahrungen einfließen zu lassen und die Redundanzkonzepte zu überprüfen? Hinweise darauf könnten in Management-Handbüchern sein (z.B. „jährliche Risikoaudits“). Auch wenn es primär kein Planungsinhalt ist, zeigt dies Reife des Risikomanagements. Der Prüfer kann dies als positive Feststellung aufnehmen.

Es überprüft das Team, ob alle überprüften Dokumente zusammen ein stimmiges Bild ergeben: Die Anlage ist risikogerecht geplant, und jede sicherheitsrelevante Entscheidung ist sachlich begründet und dokumentiert. Alle relevanten Normen und Vorschriften sind dabei eingehalten, was ebenfalls aus den Unterlagen hervorgeht (z.B. Vermerke über Normprüfungen, Checklisten der Planer). Diese Prüfanweisung selbst enthält nachfolgend eine Checkliste, anhand derer die Prüfpunkte systematisch abgehakt werden können.

Nachfolgend eine strukturierte Checkliste, die das Prüfteam bei der arbeitsteiligen Durchsicht der Ausführungsplanung verwendet. Für jeden Prüfaspekt kann vermerkt werden, ob die Anforderung erfüllt ist (Ja/Nein) und welche Bemerkungen/Feststellungen gemacht wurden.

Legende: ☐/☐ = anzukreuzen Ja oder Nein (erfüllt/nicht erfüllt). Die Tabelle kann bei Bedarf um projektspezifische Punkte ergänzt werden. Jeder Prüfer füllt für seinen Zuständigkeitsbereich die Befunde in der Spalte Bemerkungen ein.