Audyt bezpieczeństwa

Czym jest audyt bezpieczeństwa?

Audyt bezpieczeństwa jest działaniem zmierzającym do odpowiedzi na kilka pytań:

• Czy system bezpieczeństwa jest dopasowany do ryzyk i zagrożeń?
• Czy system jaki został wdrożony, funkcjonuje prawidłowo?

Aby odpowiedzieć na to pytanie, należy wiedzieć, jakie zagrożenia mają wpływ na działanie firmy. Instytut Bezpieczeństwa i Informacji odchodzi od klasycznego podejścia do bezpieczeństwa, w którym najważniejszym celem tworzonych systemów bezpieczeństwa było zabezpieczanie przed kradzieżą i zniszczeniem zasobów fizycznych. Obecnie prowadzimy oceny, które mają za zadanie odpowiedzieć nam, na ile działania klasyfikowane jako ochronne, gwarantują ciągłość działania biznesowego naszego klienta. W tym zakresie podstawą naszego audytu jest często analiza ryzyka w zakresach:

• Operacyjnym (działalności podstawowej), rozumianym jako utrata części lub całości zdolności działania, w wyniku braku dostępności zasobów osobowych, fizycznych (rzeczowych), finansowych, informacyjnych lub innego sposobu przerwania procesu.
• Prawnym (zgodność rozwiązań z przepisami prawa), rozumianym jako utrata części lub całości zdolności działania, w wyniku działań niezgodnych z obowiązującymi przepisami prawa, a skutek wynika z nakazów organów uprawnionych do kontroli i nadzoru.

Jak wygląda audyt wykonywany zgodnie z Metodyką Audytu Bezpieczeństwa IBII?

Po zleceniu audytu (lub podpisaniu umowy) Klient otrzymuje wykaz dokumentów, jakie należy przesłać w celu wykonania fazy I (zobacz też opis Metodyki Audytu Bezpieczeństwa IBII)

Faza I

W trakcie fazy I można wyróżnić dwa podstawowe działania Zespołu Audytorów:

1. Ocena dokumentacji regulującej zakres bezpieczeństwa jaki będzie oceniany w trakcie audytu, na zgodność z przepisami prawa.
2. Wyodrębnienie wymagań zawartych dla systemu bezpieczeństwa. Każdy dokument, regulujący dany zakres bezpieczeństwa organizuje przedsięwzięcia, często przypisuje prawa i obowiązki. Celem tej czynności jest wypisanie wszystkich wymagań dla osób i stanowisk, jak również dla stanu zabezpieczeń zawartych w tzw. dokumencie wiodącym.

Zakończeniem fazy I Audytu jest opracowanie planu audytu dla działań na miejscu (dla fazy II)  i uzgodnienie ich z wyznaczonym przedstawicielem Zleceniodawcy.

Faza II

Faza II Audytu rozpoczyna się od spotkania otwierającego w ocenianej lokalizacji. W trakcie spotkania, Zespół przedstawia czynności jakie będzie wykonywał na terenie obiektu jak również wskazuje swój zakres uprawnień.

W trakcie fazy II można wyodrębnić dwa rodzaje działań:

1. Wywiady, prowadzone na podstawie przygotowanej dokumentacji z fazy II
2. Wizja lokalna z dokumentowaniem (foto) niezgodności, potencjału lub dobrych praktyk. Dobre praktyki, jako mocne strony systemu bezpieczeństwa są również opisywane w Raporcie.

Po fazie II Audytu, następuje ocena zgromadzonego materiału oraz wstępna klasyfikacja Indeksu Bezpieczeństwa. Po akceptacji ze strony Zespołu (wszystkie niejasności muszą być omówione w całym Zespole) Raport przyjmuje kształt ostateczny i jest prezentowany na spotkaniu zamykającym.

Jak dobierany jest Zespół Audytorów?

Zespół Audytorów składa się z:

• Audytora Wiodącego – osoby posiadającej uprawnienia, doświadczenie (minimum 50 audytów bezpieczeństwa) i mającej ukończoną ścieżkę rozwoju Audyt Bezpieczeństwa Fizycznego Obiektu w Instytucie Bezpieczeństwa i Informacji.
• Audytora – osoby, która posiada przygotowanie zawodowe związane z audytowanym obszarem oraz zakresem dodatkowym, jaki z nim wiąże (najczęściej ochrona fizyczna, BHP, bezpieczeństwo informacji), z odpowiednim udokumentowanym doświadczeniem (minimum 5 lat w zakresach dodatkowych).
• Konsultanta ds. Organizacji – osoby posiadającej doświadczenie w organizacji i strategiach firm, znającej systemy zarządzania co najmniej ISO, zasady organizacji szkoleń, analizy strategiczne i sektorowe, z odpowiednim udokumentowanym doświadczeniem (minimum 5 lat w organizacji). Głównym zadaniem Konsultanta jest wskazanie możliwości rozwoju systemu bezpieczeństwa wynikających z wdrożonej organizacji na szczeblu strategicznym. Np w przypadku wdrożonego ISO, włączenie elementów bezpieczeństwa do Systemu Zarządzania Jakością, jako istotnego dla procesu głównego. 
• Uzupełnieniem Zespołu Audytorów są Eksperci Techniczni, wspierający zespół opiniami i ekspertyzami, w zakresach tego wymagających. Najczęściej są to byli lub czynni funkcjonariusze i pracownicy inspekcji, służb i instytucji związanych z bezpieczeństwem, powiązani z Instytutem Umowami o Współpracę.

Czym kończymy audyt?

Zakończeniem audytu jest prezentacja raportu z audytu, w którym wskazujemy najistotniejsze problemy, na jakie natknęliśmy się w trakcie wizyt i oceny systemu bezpieczeństwa. Prezentacja jest niezbędna, bo jest wskazaniem, jak czytać dokument, który w zależności od zakresu prowadzonego audytu oraz wielkości firmy, zawiera od 60 do nawet 300 stron. Zawartość raportu jest podzielona na cztery części:

Podstawy audytu :

• umowa lub zlecenie z informacjami;
• zakres audytu, wyłączenia;
• opis metody oceny stanu bezpieczeństwa (wyciąg z MAB IBII);
• podstawy prawne i metodyczne.

Ustalenia:

• Poziom ryzyka dla ocenianego podmiotu wraz z uzasadnieniem;
• Osiągnięte poziomy w 5 aspektach (filarach) bezpieczeństwa wraz z uzasadnieniem. Każdy filar bezpieczeństwa jest rozpisany na obszary, zgodnie z Metodyką Audytu Bezpieczeństwa IBII;
• Zalecenia dla usunięcia niezgodności;
• Potencjał doskonalenia dla rozwoju systemu bezpieczeństwa - główne zadanie dla Konsultanta ds. Organizacji.

Inne zakresy bezpieczeństwa

Wskazanie potencjalnych niezgodności w innych (nie objętych umową) zakresach bezpieczeństwa

Załączniki

Wykaz materiałów nadesłanych, stanowiących podstawę do Fazy I i planowania Fazy II audytu

Dokumentacja wywiadów prowadzonych w trakcie audytu:

• Wywiady z praktyki (do badanego zakresu – np. szkolenia, remonty, konserwacje)
• Wywiady do dokumentu (najczęściej do nadesłanych do Fazy I)
• Protokoły niezgodności – dokumentujące stan niezgodny z przepisami prawa oraz rozwiązaniami organizacyjnymi, ze wskazaniem naruszonej podstawy, dokumentacja dodatkowa (np. fotografia, wciąg z dokumentu etc) oraz zalecenia do usunięcia niezgodności, czyli co zrobić, aby przywrócić stan zgodny z prawem.
• Potencjały doskonalenia – wskazujące na sytuacje, miejsca, rozwiązania, które nie są niezgodnościami, ale generują potencjalne zagrożenia lub są słabością w systemie bezpieczeństwa. Często potencjał doskonalenia wynika z tzw. dobrych praktyk.

Co dalej?

Po zakończeniu audytu istnieje możliwość podjęcia stałej współpracy, w dwóch formach:

• „Bezpiecznik” do wynajęcia
• Pakiet wsparcia specjalisty bezpieczeństwa

• « poprz.
• nast. »