Pobierz najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Podstawy przeprowadzania audytu dotyczącego zarządzania bezpieczeństwem obiektów

Printer Friendly and PDF

Spośród wielu definicji audytu można wybrać i przytoczyć te, które oddają cel, sens i potrzeby biznesowe czy też normatywno-prawne jego realizacji. Audyt ocenia zgodność teraz i w przeszłości. Jego odmianą jest inspekcja, która ocenia zgodność jedynie w przeszłości. Obydwie odmiany są ważną częścią procesu zarządzania. Jest to usystematyzowany, niezależny i udokumentowany proces uzyskiwania dowodu z audytu oraz obiektywnej oceny spełnienia jego kryteriów.

Audyt bezpieczeństwa obiektu to całokształt przedsięwzięć, których celem jest uzyskanie pełnych informacji o stanie bezpieczeństwa jednostki organizacyjnej, które w konsekwencji umożliwia podniesienie poziomu bezpieczeństwa we wszystkich sferach działalności organizacji oraz stworzenie warunków skutecznego reagowania na potencjalne zagrożenia i sytuacje kryzysowe.

Kto może audytować?

Audytować może ten, kto spełnia warunki odbiorcy audytu. W praktyce są to osoby przeszkolone w zakresie prowadzenia audytu i mające wiedzę dotyczącą przedmiotu audytu, np. rzeczoznawca, ekspert, audytor oceniający zgodność z normą, prawem, standardem czy dobrymi praktykami.

Audytor to ten, kto ocenia, przeprowadza kontrolę, dokonuje przeglądu, sporządza raporty – również w każdej innej branży, np. energetycznej, informatycznej czy transportowej. Ze względu na wąskie specjalizacje audytorzy branżowi powinni być fachowcami w swoich dziedzinach.

Rys. 1. Model programu zarządzania audytami

 

Rzeczoznawca to tytuł przyznawany na podstawie odpowiednich przepisów osobom o wysokich kwalifikacjach i odpowiednio dużym, udokumentowanym doświadczeniu w określonej dziedzinie i specjalizacji zawodowej.

Ekspertem jest specjalista, biegły rzeczoznawca, powoływany do wydania orzeczenia lub opinii w sprawach spornych, wchodzących w zakres jego kompetencji.

Jakie rodzaje audytów można spotkać w praktyce?

Wyróżniamy następujące rodzaje audytów:

  • pierwszej strony (audyt wewnętrzny) – kiedy audytujemy własny system;
  • drugiej strony (audyt zewnętrzny) – kiedy audytujemy dostawcę lub jesteśmy audytowani przez odbiorcę;
  • trzeciej strony (audyt zewnętrzny) – kiedy jesteśmy audytowani przez niezależną organizację certyfikującą.

Podstawy normatywne audytu

Podstawy prowadzenia audytu zostały opisane w normie PN-EN ISO 19011:2012 Wytyczne dotyczące audytowania systemów zarządzania. Norma ta zawiera wskazówki dotyczące dobrych praktyk oraz planowania i prowadzenia audytów systemów zarządzania. Należy wspomnieć także o normie zawierającej wymagania dotyczące jednostek prowadzących audyty certyfikujące systemy zarządzania, tj. o normie PN-ISO/IEC 27006:2014 Technika informatyczna – Techniki bezpieczeństwa – Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji.

Audyt jako przegląd techniczno-eksploatacyjny systemu

Realizacja pojedynczego zadania audytowego ma dostarczyć informacji na temat poprawności przestrzegania zasad i norm dotyczących bezpieczeństwa w trakcie realizowanych procesów objętych audytem. W praktyce należy opracować i wdrożyć długotrwały program zarządzania audytami bazujący na cyklu Deminga i potraktować rezultaty jako informacyjne sprzężenie zwrotne zapewniające stały, obiektywny nadzór nad realizacją procesów bezpieczeństwa.

Wymagania ogólne dotyczące prowadzenia audytu

Zaleca się przeprowadzanie audytów w przedsiębiorstwie w zaplanowanych odstępach czasu w celu ustalenia, czy zastosowane zabezpieczenia organizacyjno-techniczne oraz procesy i procedury z nimi związane są:

  1. zgodne z dokumentacją powykonawczą;
  2. zgodne z wymaganiami specyfikacji technicznej i z powołanymi normami, odpowiednimi ustawami i przepisami uwzględniającymi nowe ustawy i przepisy;
  3. adekwatne do zidentyfikowanych zagrożeń i poziomów ryzyka (należy uwzględnić nowe zagrożenia i nowe rodzaje ryzyka);
  4. wykorzystywane lub były wykorzystywane w przypadku wystąpienia incydentów, które miały poważny wpływ na bezpieczeństwo;
  5. wynikiem efektywnego wdrożenia i eksploatacji, a systemy są odpowiednio konserwowane i serwisowane;
  6. zgodne z oczekiwaniami użytkownika;
  7. zgodne z wymaganiami umownymi i biznesowymi.

Program audytu powinien zostać zaplanowany i uwzględniać wyniki poprzednich audytów. Częstotliwość i metody przeprowadzania audytu, przyjęte kryteria i zakres, którego on dotyczy, powinny być z góry ustalone. Wybór audytorów i sposób przeprowadzenia audytu powinny zapewnić obiektywność i bezstronność procesu. Audytorzy nie powinni prowadzić audytów dotyczących ich własnej pracy. Wymagania i odpowiedzialność za planowanie i przeprowadzanie audytów w organizacji oraz za raportowanie ich wyników i utrzymywanie zapisów powinny zostać określone w udokumentowanej procedurze. Audytorzy powinni posiadać udokumentowane uprawnienia potwierdzające wiedzę, doświadczenie oraz umiejętności.

Inicjowanie audytu – wyznaczenie zespołu audytującego

W celu wyznaczenia zespołu audytowego potrzebne są określone działania, w tym:

  1. Wyznaczenie audytorów oraz audytora wiodącego (kierownika zespołu) do danego audytu oraz sprawdzenie uprawnień, kompetencji i doświadczenia audytorów.
  2. Określenie celów audytu, jego zakresu i kryteriów. Audyt ma sprawdzić zgodność stanu zastanego z wymaganym. Zgodność ta jest oceniana na podstawie przyjętych kryteriów oceny.
  3. Określenie wykonalności audytu. Zaleca się określenie wykonalności audytu z uwzględnieniem takich czynników jak:
  • dostępność wystarczających i odpowiednich informacji;
  • możliwość potrzebnej współpracy z audytowanym;
  • adekwatny czas i zasoby (w tym dostępność osób i dostęp do obszarów audytowanych).
Jeżeli audyt jest niewykonalny, klientowi proponuje się wykonanie audytu alternatywnego.
  1. Nawiązanie pierwszego kontaktu z audytowanym. Pierwszy kontakt z audytowanym może być nieformalny lub formalny, ale zaleca się, żeby był nawiązany przez audytorów odpowiedzialnych za zarządzanie programem lub przez audytora wiodącego. Celem pierwszego kontaktu jest:
  • ustalenie sposobów komunikacji z przedstawicielem audytowanego;
  • potwierdzenie uprawnień do przeprowadzenia audytu;
  • dostarczenie informacji dotyczących proponowanego harmonogramu oraz składu zespołu audytującego;
  • wnioskowanie o dostęp do stosownych dokumentów;
  • określenie zasad bezpieczeństwa mających zastosowanie w danym miejscu;
  • dokonanie ustaleń dotyczących audytu;
  • uzgodnienie uczestnictwa obserwatorów oraz przewodników dla zespołu audytującego.
Przebieg procesu audytu został przedstawiony na rysunku 2.

Przegląd dokumentacji

Przed podjęciem działań audytowych zaleca się dokonanie przeglądu dokumentacji w celu określenia zgodności kryteriów audytu z normami, np. technicznymi lub dotyczącymi zarządzania bezpieczeństwem informacji. Dokumentacja ta może obejmować odpowiednie dokumenty i zapisy dotyczące systemu zarządzania, a także raporty z poprzednich audytów. Podczas przeglądu zaleca się wzięcie pod uwagę wielkości, charakteru i złożoności przedsiębiorstwa oraz celów i zakresu audytu. Jeżeli dokumentacja okaże się nieodpowiednia, audytor wiodący powinien poinformować o tym odbiorcę audytu, osoby odpowiedzialne za zarządzanie programem audytów oraz audytowanego. Zaleca się podjęcie decyzji o kontynuacji audytu albo jego zawieszeniu do czasu rozwiązania kwestii związanych z dokumentacją.

Planowanie działań audytowych realizowanych na miejscu

Audytor powinien przygotować plan przeprowadzenia audytu stanowiący podstawę do uzgodnień pomiędzy odbiorcą audytu, zespołem audytującym oraz audytowanym. Zaleca się, żeby plan ułatwiał ustalenie terminów i koordynację działań audytowych. Plan audytu powinien być przejrzany i zaakceptowany przez odbiorcę audytu oraz przedstawiony audytowanemu przed rozpoczęciem działań audytowych. Wszelkie zastrzeżenia audytowanego powinny być rozstrzygnięte wspólnie – przez audytora, audytowanego i odbiorcę audytu. Zaleca się, żeby przed kontynuowaniem audytu każda zmiana planu została uzgodniona pomiędzy stronami, których ona dotyczy.

Przeprowadzanie działań audytowych

Audyt powinien rozpocząć się od spotkania otwierającego, na którym powinien być obecny audytor oraz osoby odpowiedzialne za audytowane dziedziny, np. kierownicy działów.

Celem spotkania otwierającego jest:

  • potwierdzenie planu audytu;
  • krótkie zaprezentowanie, jak będą wykonywane działania audytowe;
  • potwierdzenie metod komunikowania się;
  • umożliwienie audytowanemu zadawania pytań.

Rys. 2. Przykład przebiegu procesu audytu

 

Podczas audytu audytor wiodący powinien zgłaszać wszelkie zastrzeżenia i okresowo informować audytowanego i odbiorcę audytu o postępach w procesie audytu. Jest to dobra praktyka. Dowody zebrane podczas audytu, które wskazują na bezpośrednie i znaczące uchybienia, audytor powinien bezzwłocznie przekazać audytowanemu i, jeżeli to właściwe, odbiorcy audytu. Każda sprawa dotycząca problemu wybiegającego poza zakres audytu powinna być odnotowana i przedstawiona audytorowi wiodącemu w celu ewentualnego zakomunikowania odbiorcy audytu i audytowanemu. Jeżeli dostępne dowody wskazują na to, że cele audytu są niemożliwe do osiągnięcia, zaleca się, żeby audytor wiodący przedstawił odbiorcy audytu i audytowanemu przyczyny w celu podjęcia określonych działań. Działania te mogą obejmować potwierdzenie audytu lub zmianę jego planu, celów lub zakresu lub jego zakończenie. Każda potrzeba zmiany zakresu, która może pojawić się na skutek realizacji działań audytowych, powinna być omówiona z odbiorcą, przez niego zatwierdzona oraz, jeżeli to właściwe, sprawdzona i zatwierdzona przez audytowanego.

Zbieranie i weryfikowanie informacji

Informacje dotyczące celów, zakresu oraz kryteriów audytu, łącznie z informacją dotyczącą oddziaływania pomiędzy funkcjami, działaniami i procesami, powinny być gromadzone poprzez odpowiednie pobieranie próbek podczas audytu i weryfikowane. Tylko uzyskana podczas audytu informacja, która jest możliwa do zweryfikowania, może stanowić dowód. Taka informacja powinna być zapisana.

Najczęściej spotykane metody zbierania informacji to:

  • rozmowy;
  • obserwacje działań i procesów;
  • przegląd dokumentów;
  • przegląd zapisów, rejestrów.
Ustalenia na podstawie audytu

Ustalenia mogą wskazywać na zgodność lub niezgodność z kryteriami, np. normami technicznymi. Jeżeli jej wykazanie było jednym z celów audytu, ustalenia mogą wskazać sposób poprawy.

Wnioski z audytu

Zespół audytujący (audytor) powinien naradzić się przed spotkaniem zamykającym audyt w celu:

  • sprawdzenia, co ustalono podczas audytu i jakie informacje zebrano w związku z obranymi celami;
  • uzgodnienia wniosków z uwzględnieniem niepewności związanej z audytowaniem,
  • przygotowania rekomendacji, jeżeli taki jest jeden z wyznaczonych celów;
  • przedyskutowania działań po audycie, jeżeli uwzględniono je w planie.
Spotkanie zamykające

Spotkanie zamykające prowadzone przez audytora powinno odbyć się w celu przedstawienia ustaleń oraz wniosków w taki sposób, aby były one zrozumiałe i potwierdzone przez audytowanego. Zaleca się ustalenie terminu przedstawienia planu działań korygujących i zapobiegawczych przez audytowanego. W spotkaniu zamykającym powinni uczestniczyć wszyscy audytowani, ale może w nim uczestniczyć także odbiorca audytu i inne strony. Jeżeli to konieczne, zaleca się, żeby audytor poinformował audytowanego o sytuacjach zaistniałych w trakcie audytu, które mogą negatywnie wpłynąć na ocenę wniosków z audytu. W niektórych przypadkach, np. po audycie w małym przedsiębiorstwie, spotkanie zamykające może polegać tylko na zakomunikowaniu ustaleń i wniosków. Zazwyczaj jednak powinno mieć charakter formalny i być zgodne ze wszystkimi zasadami, łącznie ze składaniem podpisów na liście obecności. Wszelkie rozbieżne opinie zespołu audytującego i audytowanego dotyczące ustaleń i wniosków powinny być przedyskutowane i, jeśli to możliwe, uzgodnione. W przypadku braku zgodności opinii zaleca się zapisanie obu opinii w raporcie z audytu. Raport powinien zawierać rekomendacje dotyczące sposobu poprawy stanu, jeżeli taki jest jeden z celów audytu.

Zakończenie audytu

Audyt będzie zakończony, gdy zostaną wykonane wszystkie działania opisane w planie i zostanie rozesłany zatwierdzony raport. Dokumenty dotyczące audytu powinny być zachowane lub zniszczone na podstawie uzgodnień pomiędzy stronami uczestniczącymi oraz zgodnie z procedurami, mającymi zastosowanie przepisami oraz wymaganiami wynikającymi z umów. Zespół audytujący oraz osoby odpowiedzialne za zarządzanie programem audytów nie powinny ujawniać osobom trzecim zawartości dokumentów, innych informacji uzyskanych podczas audytu lub raportu z audytu bez jasno wyrażonego pozwolenia odbiorcy audytu i, jeżeli to właściwe, audytowanego, chyba że działanie takie jest nakazane przez prawo. Jeżeli wymagane jest ujawnienie zawartości dokumentu dotyczącego audytu, zaleca się jak najszybsze poinformowanie o tym odbiorcy audytu i audytowanego.

Przygotowanie, zatwierdzenie i rozpowszechnianie raportu dotyczącego audytu

Przygotowanie raportu dotyczącego audytu

Audytor jest odpowiedzialny za przygotowanie i treść raportu dotyczącego audytu. Zaleca się, żeby raport ten zawierał kompletne, dokładne, zwięzłe i jasne informacje dotyczące audytu. Powinien obejmować:

  • wskazanie celów audytu;
  • podanie czasu trwania audytu;
  • określenie zakresu audytu, w szczególności wskazanie audytowanych jednostek organizacyjnych i funkcjonalnych lub audytowanych procesów;
  • wskazanie odbiorcy audytu;
  • wskazanie audytora wiodącego i członków zespołu audytującego;
  • podanie daty i miejsca prowadzenia działań audytowych na miejscu;

Raport powinien powoływać się na:

  • kryteria dotyczące audytu;
  • ustalenia wynikające z audytu;
  • wnioski wypływające z audytu.

Raport dotyczący audytu jest tworzony na podstawie indywidualnego wzoru dostosowanego do potrzeb odbiorcy audytu.

Zatwierdzenie i rozpowszechnianie raportu dotyczącego audytu

Raport dotyczący audytu powinien być przekazany w uzgodnionym terminie. Jeżeli nie jest to możliwe, należy zakomunikować przyczyny opóźnienia odbiorcy audytu oraz uzgodnić nowy termin przesłania raportu. Raport powinien być zatwierdzony, a następnie rozesłany do odbiorców wskazanych przez odbiorcę audytu. Raport dotyczący audytu jest własnością odbiorcy audytu. Członkowie zespołu audytującego (audytor) oraz wszyscy odbiorcy raportu powinni przestrzegać zasad dotyczących poufności raportu.

Działania po audycie

Wnioski wypływające z audytu mogą wskazywać na potrzebę podjęcia działań korygujących, naprawczych lub doskonalących, jeżeli ma to zastosowanie. Takie działania są zwykle określane i podejmowane przez audytowanego w uzgodnionym terminie oraz nie są uważane za część audytu. Zaleca się, żeby audytowany informował odbiorcę audytu o statusie tych działań.

Weryfikacja zakończenia i skuteczności działań korygujących

Weryfikacja ta może być częścią następnego audytu, którego celem będzie także sprawdzenie skuteczności i efektywności działań korygujących. Program audytu może określać udział zespołu audytującego w działaniach po audycie, które przynoszą dodatkową korzyść dzięki już zdobytemu przez ten zespół doświadczeniu. Należy zadbać o bezstronność zespołu, jeżeli będzie on wykonywał dodatkowe działania audytowe.


dr inż. Andrzej Wójcik
Ekspert i rzeczoznawca
ds. bezpieczeństwa technicznego i ochrony informacji
audytor ds. bezpieczeństwa biznesu
andrzejw@esinstal.pl

 

Zabezpieczenia 3/2017

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony