Pobierz
najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Przeprowadzanie audytu zarządzania bezpieczeństwem organizacyjno-technicznym obiektów. Część 6. Prowadzenie audytu. Praktyka i wytyczne

Printer Friendly and PDF

Wstęp

Na wstępie należy poinformować, że pojawiły się nowe wersje norm, które mają związek z audytowaniem i które zostały przywołane w poprzednich częściach. Wydano nowa normę PN-EN ISO 19011:2018 Wytyczne dotyczące auditowania  systemów zarządzania, która zastąpiła normę PN-EN ISO 19011:2012. Wprowadzono też normę PN-ISO 31000:2018 Zarządzanie ryzykiem. Wytyczne, która zastąpiła normę PN-ISO 31000: 2012. W celu zwrócenia uwagi na to, że zaszły zmiany w zarządzaniu bezpieczeństwem, należy przypomnieć, że norma PN-EN ISO/ICE:2014 została zastąpiona przez normę PN-EN ISO/ICE:2017 Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji.

Przeprowadzanie audytu zgodnie z nowymi wymaganiami normatywnymi

Wytyczne normy PN-EN ISO 19011:2018 (w skrócie ISO 19011) są skierowane są do zarządzających programami audytów, do audytorów, a także do jednostek certyfikujących. Normą ISO 19011 mogą kierować się wszystkie organizacje, które planują i przeprowadzają audyty (wewnętrzne lub zewnętrzne) systemów zarządzania lub zarządzają programem audytów. Stosowanie się do wytycznych ISO 19011 w innych rodzajów audytów jest możliwe pod warunkiem, że zwróci się szczególną uwagę na potrzebne specyficzne kompetencje.

Wymagane kompetencje w przypadku audytowania zabezpieczenia organizacyjno-technicznego obiektów, czyli – ogólnie – infrastruktury bezpieczeństwa, obejmują m.in. przygotowanie z zakresu systemów alarmowych – wiedzę o projektowaniu, eksploatacji, serwisie, konserwacji, szacowaniu ryzyka, a także znajomość odpowiednich podstaw normatywnych, prawnych i specyficznych wymagań biznesowych lub korporacyjnych, które mają związek z bezpieczeństwem.

Należy podkreślić, że audyt stanowi skuteczny i niezawodny instrument wspierający politykę bezpieczeństwa obiektu i umożliwiający skontrolowanie zarządzania bezpieczeństwem. Dostarcza informacji, które są niezbędne, by zadbać o bezpieczeństwo w organizacji. W przeprowadzaniu audytu ważne są:

  • uczciwość – przede wszystkim prawość, rzetelność, sumienność, niedopuszczenie do przekłamań;
  • rzetelność – precyzyjność, dokładność, poprawność przeprowadzenia audytu, a także powtarzalność metodyki;
  • profesjonalizm w działaniu – wykonywanie czynności audytowych zgodnie z wymaganiami, fachowość;
  • poufność – uzyskane podczas audytu dane nie powinny być ujawnione lub udostępnione nieuprawnionym osobom;
  • niezależność – audyt nie może być przeprowadzony w czyimś partykularnym interesie, należy zadbać o bezstronność i oceniać obiektywnie, audytor nie może audytować własnej pracy i być organizacyjnie podległy audytowanemu; 
  • ustalenie faktów – sprawdzenie aktualnego stanu rzeczy i ustalenie przeszłych zdarzeń, np. sprawdzenie zapisów w dokumentacji czy w rejestrze wydarzeń centrali alarmowej, wywiad z audytowanym;
  • uwzględnienie trudności i określenie prawdopodobieństwa, że cele audytu zostaną osiągnięte (ta zasada jest narzucona przez normę ISO 19011).

Należy przestrzegać powyższych zasad, aby wyniki audytu były jednoznaczne i aby można było spodziewać się, że inni audytorzy uzyskają podobne wyniki w podobnych okolicznościach. 

Na czym polega uwzględnienie trudności? Audytor powinien dokonać analizy ryzyka i możliwości związanych z realizacją przygotowanego programu audytu w konkretnym przypadku. Audytor powinien określić potencjalne trudności, a z drugiej strony ocenić prawdopodobieństwo przeprowadzenia audytu z powodzeniem, czyli prawdopodobieństwo osiągnięcia celu audytu.

Trudności wynikające z braku oceny ryzyka nieprawidłowego przeprowadzenia audytu mogą być związane przede wszystkim z: 

  • zaplanowaniem audytu, błędnym określeniem celów audytu (np. sprawdza się stan techniczny wyłącznie wybranych elementów zabezpieczających, a nie to, czy cały obiekt jest odpowiednio zabezpieczony) oraz zakresu programu audytu;
  • rozdysponowaniem zasobów i czasem (np. wybrano niekompetentnych przedstawicieli audytowanego lub nie przeznaczono wystarczającego czasu na przygotowanie programu audytu), a także z przeprowadzeniem audytu;
  • wyborem zespołu audytującego (np. audytorzy wewnętrzni nie mają kompetencji, aby przeprowadzić audyt skutecznie; nie ma audytora wiodącego, czyli osoby kierującej zespołem przeprowadzającym audyt, lub eksperta technicznego w dziedzinie systemów alarmowych); 
  • przepływem informacji pomiędzy audytorem a audytowanym (np. brak potwierdzenia programu audytu przez audytowanego);
  • zapisami w dokumentacji audytowej, w notatkach audytora (niedokładne opisy, nieodpowiednia ochrona zapisów dotyczących audytu); 
  • dostępnością dowodów (dokumentacji dotyczącej zabezpieczeń w obiekcie, dziennika konserwacji systemów alarmowych, rejestrów central alarmowych itd.);
  • uwzględnieniem zmian organizacyjnych (np. zmian lokalizacji, zmian w kierownictwie organizacji, zmian w przepisach prawnych, którym podlega organizacja i które mają wpływ na program oraz wynik audytu);

Wyróżniamy audyty wewnętrzne, zwane inaczej audytami pierwszej strony, oraz audyty zewnętrzne, które możemy podzielić na audyty drugiej strony, np. dostawcy usług, i audyty trzeciej strony, np. organizacji certyfikujących.

Rodzaje audytów mających związek z bezpieczeństwem:

  • audyt usługi – może dotyczyć na przykład projektowania, instalacji, konserwacji i serwisu systemu alarmowego, a także dostawy produktów (w tym przypadku zabezpieczeń);
  • audyt procesu – może dotyczyć na przykład realizacji i skuteczności procesu projektowania, instalacji, konserwacji i serwisowania systemu alarmowego, a także dostawy produktów (w tym przypadku zabezpieczeń),
  • audyt systemu – możemy audytować system zabezpieczeń organizacyjno-technicznych ogólnie, ale także wybrane systemy zabezpieczeń, np. kontroli dostępu czy CCTV. 

Należy pamiętać, że audyt zarządzania bezpieczeństwem obiektów, szczególnie prowadzony przez strony zewnętrzne, może dotyczyć dostawy, spełnienia wymogów dotyczących gwarancji na urządzenia czy usługę oraz serwisowania urządzeń alarmowych. 

Ważnym zagadnieniem jest podejście procesowe podczas realizacji audytu. Zastosowanie podejścia procesowego, czyli przeprowadzenie kompletnej kontroli funkcjonowania systemu zarządzania bezpieczeństwem w obiekcie (kontroli m.in. organizacji ochrony, zabezpieczeń technicznych, sposobu eksploatacji), wynika z dyrektywy ISO/IEC (część 1, załącznik SI). Audytorzy powinni prowadzić audyt systemu zarządzania procesami w organizacji i wzajemnej relacji tych procesów w odniesieniu do jednego lub więcej standardów zarządzania, np. zarządzania bezpieczeństwem obiektów zgodnie z ISO27001 i ciągłością procesów związanych z zaopatrzaniem w energię zgodnie z ISO 22301.

W następnej części opiszę przygotowywanie planu audytu, przykładowe aspekty audytowania bezpieczeństwa obiektów i to, w jaki sposób korzystać z różnych źródeł informacji.

Dobrowolne stosowanie Polskich Norm w praktyce

Należy podkreślić, że zacytowane we wstępie normy są wydane w języku oryginału. Tylko tytuły na okładkach są przetłumaczone na język polski. W związku z tym możliwe są różne interpretacje poszczególnych zapisów, co stanowi problem. Wielokrotnie podczas różnych audytów i szkoleń odbiorcy pytali mnie, dlaczego tak ważne normy są wydawane tylko i wyłącznie w języku oryginału. Problem ten reguluje ustawa z dnia 12 września 2002 r. o normalizacji (Dz. U. Nr 169, poz. 1386 ze zm.) – w art. 5. 1 znajduje się następujący zapis: „Polska Norma jest normą krajową, przyjętą w drodze konsensu i zatwierdzoną przez krajową jednostkę normalizacyjną, powszechnie dostępną, oznaczoną – na zasadzie wyłączności – symbolem PN”.

Norma europejska lub międzynarodowa może być wprowadzona w Polsce w języku oryginału jako norma obowiązująca (może stać się Polską Normą). Stosowanie Polskich Norm jest dobrowolne. Polskie Normy mogą być przywoływane w przepisach prawnych po ich opublikowaniu w języku polskim. Do czasu opublikowania nowej normy napisanej w języku polskim obowiązuje norma dotychczasowa. Norma w języku oryginału może być stosowana tylko na zasadzie uznaniowej.

Opracował

dr inż. Andrzej Wójcik
ekspert i rzeczoznawca ds. bezpieczeństwa technicznego i ochrony informacji
audytor ds. bezpieczeństwa biznesu
andrzejw@esinstal.pl

 

Zabezpieczenia 2/2019

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony