Database Reference
In-Depth Information
grund ihrer Ad-hoc-Natur wegen kurzfristigen Kundenanfragen nur begrenzt planerisch
berücksichtigen.
5.2.8.3 Aspekte des Audit-Programms
Gleich, ob man der oben vorgeschlagenen Methode des Audit-Cycle folgt oder davon
abweicht: In jedem Fall wird ein Audit-Programm (Alternativbezeichnung: Audit-
Jahresplan) zu erstellen sein, in welchem die Termine und Ressourcen der Check-
Aktivitäten in Verbindung mit den zur Verfügung stehenden Budgets aufeinander
abgestimmt werden. Im Rahmen des Audit-Cycle (Abschn. 5.2.8.2) wurden bereits die Ab-
hängigkeiten zwischen den internen Anforderungen und der Verfügbarkeit des Auditors
beschrieben, sodass zu einem finalen Audit-Programm unter Berücksichtigung aller Ein-
gaben mehrere Entwurfsfassungen notwendig sein werden. Das Audit-Programm enthält
dabei zwingend folgende Elemente:
•
Zum einen legt es die Terminierung der (internen wie externen) Audits sowie der Ma-
nagement Reviews den wichtigsten Aspekt des Audit-Plans fest. Dazu gehören auch die
Einplanung entsprechender Phasen der Vor- und Nachbereitung sowie ausreichende
Pufferzeiten. Für die zu terminierenden Aspekte innerhalb der einzelnen Schritte für
Audits und Review sei an dieser Stelle auf die entsprechenden, noch folgenden Schritte
des DSMS-PDCA verwiesen.
Das hier beschriebene Audit-Programm sollte als Audit-Jahresplan nur die we-
sentlichen Aspekte aufgreifen. Die detaillierte Agenda von Audits und Review
wird anschließend zeitnah zum jeweiligen Termin erstellt und kommuniziert.
Damit werden planerische Unwägbarkeiten besser berücksichtigt, zudem las-
sen sich aktuelle Schwerpunkte zu den Audit-Kriterien in den Audit-Checklisten
setzen.
•
Weiterhin sollte vor der Durchführung von Audits und Management Reviews noch ein
Status-Update für die Geschäftsleitung eingeplant und durchgeführt werden. So muss
die Geschäftsleitung letztendlich die Audits freigeben und tritt folglich als Auftraggeber
auf. Die wesentliche Grundlage für das Abhalten der Audits sollte zwar bereits über die
Datenschutz-Policy (Abschn. 5.2.1.3) vorliegen, nichtsdestotrotz ist eine Erinnerung
sinnvoll.
•
Ein weiterer essentieller Punkt in den Audit-Planungen ist die Festlegung des unter-
suchten Bereiches. Regelmäßig werden sich externe Audits aus Effizienzgründen nur
auf ausgewählte Bereiche des DSMS-Anwendungsbereiches erstrecken, etwa bestimm-
te Lokationen oder Prozesse, wobei die oben (Abschn. 5.2.8.2) erwähnten Vorgaben
durch den externen Auditor berücksichtigt werden müssen. Auch die betroffenen Mit-
arbeiterkreise sind abzustecken. Für interne Audits gilt, dass
jeder
Bereich im Scope des
DSMS auditiert wird. Denn die Überprüfung des DSMS darf sich in diesem Fall nicht
Search WWH ::
Custom Search