Konformitätsprüfung der Compliance-Anforderungen der Abteilung IT-Services

Generelle Audit Informationen
Auditierter Bereich IT Services
Auditor Sandra Meier
Geplantes Datum 14. August 2019 
Datum der Ausführung 21. August 2019 
Audittyp Prozessaudit
Audit-Status Offen

Prüfung der Prozesse zur Umsetzung der EU-Datenschutzgrundverordnung.


Ergebnisse

Die Auditdurchführung erfolgte gemäß des vorab kommunizierten Auditplans.

Die für den 2. Audittag geplante Begehung der Serverräume musst aus zeitlichen Gründen abgesagt werden. Daher ist ein Nachholtermin für August 2019 vereinbart.

Alle geplanten Aspekte wurden hinreichend erörtert.

Betrachtete Aspekte der Regelwerke

  • Kontext der Organisation und interessierte Parteien
  • Umgang mit Risiken und Chancen
  • Operative Prozesse IT Service, Prozesslandschaft, Schnittstellen und Ticketsystem
  • Identifizierung und Systematisierung von bindenden Verpflichtungen
  • Bewertung der Leistung und Verbesserung
  • Anwendung operative Ticket-Prozesse und Compliance
  • Schulung und Wissen der Organisation
  • Kommunikation
  • Dokumentenlenkung
  • Auftragsbearbeitung
  • Arbeits- und Prüfmittel
  • Bewertung der Dienstleister/Vertragsfirmen
  • Produktions-/Dienstleistungserbringung
  • KVP-Themen


Fazit

Im Rahmen des Internen Audits wurde der IT-Service auditiert.

Im Rahmen des Internen Audits konnten zahlreiche positive Feststellungen getroffen werden. Dies betrifft insbesondere die Führungsrolle der Teamleitung. Deren aktive Führung hat positive Auswirkungen auf die Umsetzung von Prozessen und Maßnahmen, wie z. B. den Umgang mit dem Ticketsystem "Easy Redmine". Die Mitarbeiter werden aktiv durch die Führungskräfte informiert und geschult.

Viele Vorgaben und Prozesse aus den Managementsystemen werden aktiv umgesetzt und sind gut nachvollziehbar.

Einzelergebnisse

Kommunikation

Die Mitarbeiter wurden hinsichtlich der Änderung in der Prozessdokumentation und im Umgang mit der Software Easy Redmine geschult (Gruppenschulung vom 10. April 2018). Es wurde die Prozessübersicht Easy Redmine und einzelne Unternehmensprozesse vorgestellt. Der Umgang mit Easy Redmine ist den auditierten Mitarbeitern bekannt.

Beispielhaft wurde der Anfrage-Prozess auditiert.

Ausgehend von der Meldung "Kontaktanfrage personenbezogenen Daten" vom 3. Mai 2018 wurde der Prozessablauf in Easy Redmine verifiziert. Der Ablauf war gut nachvollziehbar und entsprach den Vorgaben der Ticketsystem-Dokumentation im IT-Servicehandbuch. Die im Zuge der Bearbeitung notwendigen Schritte wurden ordnungsgemäß vorgenommen.

Weitere eingesehene Unterlagen:

  • Schulungsnachweis Rüdiger Strauß vom 10. April 2018 (bereichsbezogene Prozesse / Easy Redmine)
  • Nachweis Berechtigungen Herr Rüdiger Strauß

SW-Analyse

Zusammenfassung der Stärken, Schwächen und Verbesserungspotentiale
Positiv Verbesserungspotential
  • Aktive Führungsrolle durch die Teamleitung
  • Viele Vorgaben aus den Managementsystemen werden bereits umgesetzt
  • Mitarbeiter werden auch in Dokumentations- und Prozessanforderungen geschult (z. B. Easy Redmine)
  • Vorbildliches Compliancemanagement im Gesamtunternehmen
  • Auseinandersetzung mit Risiken und Chancen sowie Prozessmanagement müssen noch weiter entwickelt und systematisiert werden.
  • Einbindung externer Berater (v.a. Rechtsberatung)






Anhänge

Diskussionen