Database Reference
In-Depth Information
Tab. 5.5 Beispielhafte Audit-Agenda für SAP
Terminblock
(jeweils ½
Stunde)
Auditee
Tagesordnungspunkt
Lead-
Auditor
Co-Auditor
1
Alle Eingeladenen
Einstieg, Vorstellung
der Beteiligten
Mitglied des
SDPO
Lokaler
Datenschutz-
vertreter
2
Lokales Management
Interview des lokalen
Managements
3
Datenschutzvertreter
Mitarbeiterinterview 1
Entfällt
4
Ortsbegehung
5
Mitarbeiter
Mitarbeiterinterview 2
6
Lokaler
HR-Mitarbeiter
Prüfung der
Arbeitsverträge
7
Mitarbeiter
Mitarbeiterinterview 3
8
Lokaler Sicherheits-
beauftragter
Mitarbeiterinterview 4
9
Alle Eingeladenen
Schlussrunde
prüft sowie die managerspezifischen Aufgaben aus der lokalen Organisation der
TOMs (etwa Vergabe von Zugriffsrechten).
Eine andere Checkliste wird gegenüber Mitarbeitern in den Interviews verwendet.
Dabei wird geprüft, inwieweit das DSMS und die damit einhergehenden Vorgaben
bekannt sind. Ebenso werden die Inhalte der Datenschutztrainings abgefragt und
auch, wiedieMitarbeiterdieseKenntnisseinderpraktischenArbeitberücksichtigen.
Schwerpunktmäßig werden insbesondere die einschlägigen Arbeitsanweisungen ab-
gefragt, aber auch spezielle Fragen betreffend den Tätigkeitsbereich des Mitarbeiters:
So werden Mitarbeiter aus den lokalen HR-Departments beispielsweise um die
Vorgänge rund um die Geheimhaltungsverpflichtungen befragt. Die Auswahl der
Mitarbeiter erfolgt im Vorfeld nach Rücksprache mit den Co-Auditoren (Daten-
schutzvertreter) und dem zuständigen Datenschutzkoordinator. Bedingung ist die
Tätigkeit des Mitarbeiters in einem Prozess, der auch im Anwendungsbereich des
DSMS liegt.
5.2.9.2 Durchführung
Die Durchführung der internen Audits folgt der Audit-Agenda, die sich wiederum
nach den Vorgaben der Audit-Checkliste richtet. Im Rahmen der Durchführung der
Audits werden zudem die Audit-Nachweise gesammelt. Ein Audit beginnt mit einem
Einstiegsgespräch von Auditoren, anschließend werden die verschiedenen Prüfmetho-
den unter Berücksichtigung der lokalen Besonderheiten (etwa Einschränkungen durch
Remote-Audits) angewandt und schließlich der Audit formell beendet.
 
Search WWH ::




Custom Search