Kiedy audyt jest audytem

Audyt bezpieczeństwa to termin, który już na stałe wszedł do słownika branży bezpieczeństwa. Ale czy jest właściwie rozumiane?

Dzisiejszy artykuł ma za zadanie uporządkować rozumienie audytu, który często bywa mylony z kontrolą, a czasem wykorzystywany w celach marketingowych. Np. w przypadku analizy stopnia zgodności przedsiębiorstwa z konkretnymi przepisami prawa, stanu bezpieczeństwa czy analizy zagrożeń, jakie wykonuje się w przypadku rozpoczynania wdrożeń czy świadczenia usług.

Jedno słowo, kilka działań

W Polsce słowem audyt nazywa się wszystko, co jest związane z jakąkolwiek oceną. W przypadku rynku np. brytyjskiego wygląda to nieco inaczej. Np:

  • Analiza i ocena potrzeb klienta w zakresie świadczonych usług to często SURVEY, nie audit.
  • Ocena bezpieczeństwa pożarowego, przed wznowieniem polisy czy przed objęciem ochroną ubezpieczeniową to Fire (Safety) Risk Assessment, nie audit.

Nie słowo najważniejsze

Istota audytu tkwi jednak nie w uproszczonym używaniu słowa do wszystkich działań oceny, a we właściwym rozumieniu istoty audytu. Co do zasady audyt jest narzędziem dla zarządzających. Na jego podstawie, zawartych ocen, rekomendacji i wniosków osoby zarządzające firmą lub jej częścią podejmują decyzje o istotnym znaczeniu dla organizacji. Dlatego audyt dotykać powinien kwestii zarządczych, a nie tylko ujawnienia niezgodności czy luk i wskazania sposobu ich usunięcia. Takie działanie bardziej wpisuje się w kontrolę, niż audyt.

Praktyczny przykład

Audyt w zakresie ochrony danych osobowych, sprawdzane działanie związane ze stosowanie organizacyjnych środków ochrony – kontroli dostępu. Procedura nakazywała zamykanie pokoju kadr, jeśli nie zostaje w nim pracownik z tego pokoju.

Ustalony stan faktyczny

Pracownica, nazwijmy ją pani Krysia, notorycznie nie zamykała drzwi pozostawiając swobodny dostęp do akt pracowniczych. Dowody z audytu zebrane metodami: wywiad, obserwacja bezpośrednia (jako potwierdzenie), obserwacja bez interakcji (CCTV).

Gdyby zakończyć działanie na tym etapie, nie byłby to audyt a jedynie kontrola przestrzegania procedur i nakazanie ich stosowania. W przypadku audytu okazało się, że sytuacja taka ma miejsce dłuższy czas. Spowodowana była zmianą kierownika działu kadr. Stanowisko uzyskała osoba spoza firmy, z rekrutacji zewnętrznej. A postępowanie pani Krysi stanowiło swego rodzaju bunt wobec braku awansu. Metody pozyskania informacji: wnioskowanie na podstawie dowodów. Potwierdzone wywiadem z kierownikiem. Czas dodatkowego działania i wnioskowania około 1 godzina. Audytor wiodący podjął decyzję o konieczności zbadania tematu, ze względu na duży wpływ sytuacji na bezpieczeństwo i ochronę danych osobowych.

Rekomendacje

Rekomendacje zostały wypracowane w zespole i w trakcie omawiania raportu z audytu z najwyższym zarządem firmy doprecyzowane. Źródłem problemu była niewłaściwa komunikacja w organizacji oraz kultura organizacji, która wpływała na kulturę bezpieczeństwa. Organizacja z rodzinnej przeistoczyła się na przestrzeni lat w  dużą korporację, a pani Krysia była jedną z osób najdłużej pracujących. Problem z komunikacją i kulturą organizacji został również potwierdzony w innych obszarach i działaniach.

Podsumowanie

Jak widać na przykładzie, audyt bezpieczeństwa może mieć ogromny wpływ na całą organizację. Wynika to z faktu, że bezpieczeństwo i ochrona niezależnie od jego obszaru czy rodzaju (BHP, PPOŻ, etc) nie są to działania wydzielone z firmy, a stanowią jej integralną część.

Efekt jaki został uzyskany audytem, to sprawnie, funkcjonujący system ochrony danych osobowych, oparty na solidnych podstawach. Zidentyfikowany został problem rzutujący na realizację procedur, który w systemach zarządzania bezpieczeństwem klasyfikujemy w obszarze personelu bezpieczeństwa i właściwego określenia struktur. Jako ostateczne rozwiązanie wprowadzono strukturę sztabowo-liniową, w której dla działań w obszarze bezpieczeństwa danych osobowych przełożonym wszystkich osób był manager bezpieczeństwa informacji.

Więcej informacji o audycie bezpieczeństwa?

Jeśli potrzebują Państwo więcej informacji o niniejszej stronie, audycie bezpieczeństwa, publikacjach lub naszych usługach zapraszamy do kontaktu.

Udostępnij
Udostępnij
Strona używa Cookies do usprawnienia komunikacji i wygody. Domyślnie Cookies są wyłączone.