Database Reference
In-Depth Information
Mitarbeiter sind zum Zeitpunkt des Audits ausreichend geschult, der Auditor hält
jedoch die zeitlichen Lücken im ebenfalls untersuchten Schulungskonzept für zu groß.
•
Best Practices
sollten vom Auditor ebenfalls aufgeführt werden. Zum einen werden
Audits je nach Lokation, Prozess, Abteilung etc. ausgeführt und eine Übertragung in
einen anderen Audit-Bereich ist oft möglich. Zum anderen gibt die Feststellung der
Best Practices durch den Auditor den Beteiligten ein wichtiges Feedback, sie werden
in ihrer guten Vorgehensweise bestätigt. Nicht zuletzt lassen sich Best Practices im
abschließenden Audit-Bericht der Geschäftsleitung vorlegen. Diese erkennt dann, dass
sie mit der Entscheidung hin zum DSMS die richtige Entscheidung getroffen hat und
die Verbesserung des Datenschutzniveaus Früchte trägt.
Insgesamt ist vom Auditor zudem zu ermitteln, ob die Audit-Ergebnisse unter Berück-
sichtigung aller Audit-Kriterien eine Wirksamkeit des DSMS bedeuten können („Gesamt-
bewertung“ des DSMS). Für interne Audits gibt diese finale Bewertung den Anstoß, ob
Zertifizierungsbestrebungen vernünftigerweise aufrechterhalten werden können.
5.2.9.3.2 Abschlussgespräch
Das Abschlussgespräch schließt je nach Audit-Struktur mehr oder weniger direkt an die
formelle Beendigung des Audits an, jedoch sind an dieser Stelle neben den Auditoren meist
nur die Verantwortlichen des auditierten Bereichs zugegen. Zunächst präsentiert der Au-
ditor - unter dem Vorbehalt des finalen Audit-Berichts - seine Einschätzungen aus dem
vorangegangen Audit. Dies beinhaltet neben den Feststellungen auch die Schlussfolgerun-
gen. Die Bereichsverantwortlichen nehmen zu den Ausführungen des Auditors Stellung
und fragen bei Unklarheiten nach. Bereits an dieser Stelle ist es möglich, dass der Auditor
und die Verantwortlichen Folgemaßnahmen beschließen und so den Follow-up einleiten.
5.2.9.3.3 Audit-Bericht
Möglichst zeitnah nach dem Audit beginnen die Auditoren mit der Erstellung des
Audit-Berichtes. Da der Audit-Bericht in erster Linie an die Auftraggeber gerichtet ist
(Geschäftsleitung), legenderenInformationsbedürfnissedieAnforderungenandenAudit-
Bericht fest. Der Audit-Bericht für die internen Audits stellt zudem eine wesentliche
Grundlage für die externen Audits im Rahmen der Dokumentenprüfung (Stage-1-Audit,
Abschn. 5.2.11.2.2) dar, da sich auch zu einem späteren Zeitpunkt wichtige Schlüsse über
die Funktionsfähigkeit des DSMS ziehen lassen.
Der Audit-Bericht beinhaltet alle relevanten Informationen über den Audit. Er berück-
sichtigt dabei insbesondere die bereits unter Abschn. 5.2.8.1.2 dargestellte Kausalkette der
Audit-Begriffe, stellt also über entsprechende Feststellungen dar, inwieweit die Audit-
Ziele erfüllt worden sind oder nicht. Außerdem beschreibt hier der Auditor detailliert die
Schlussfolgerungen, die er aus dem Audit zieht.
Besonderer Fokus sollte auf eine aussagekräftige Zusammenfassung gelegt
werden, die den Adressaten des Audit-Berichtes die wesentlichen Ergebnisse
kurz und prägnant präsentiert. Zusätzliche Grafiken, Diagramme, Dashboards
etc. leisten hier gute Dienste.
Search WWH ::
Custom Search