Audyt jako przegląd techniczno-eksploatacyjny systemu

Realizacja pojedynczego zadania audytowego ma dostarczyć informacji na temat poprawności przestrzegania zasad i norm dotyczących bezpieczeństwa w trakcie realizowania procesów objętych audytem. W praktyce należy opracować i wdrożyć długotrwały program zarządzania audytami i potraktować rezultaty jako informacyjne sprzężenie zwrotne zapewniające stały obiektywny nadzór nad realizacją procesów bezpieczeństwa

Wymagania ogólne dotyczące prowadzenia audytu

Zaleca się przeprowadzanie audytów w jednostce organizacyjnej w zaplanowanych odstępach czasu w celu ustalenia, czy zastosowane zabezpieczenia organizacyjno-techniczne oraz procesy i procedury z nimi związane są:

  • zgodne z dokumentacją powykonawczą,
  • zgodne z wymaganiami specyfikacji technicznej i z powołanymi normami, odpowiednimi ustawami i przepisami uwzględniającymi nowe ustawy i przepisy,
  • adekwatne do zidentyfikowanych zagrożeń i poziomów ryzyka (należy uwzględnić nowe zagrożenia i nowe rodzaje ryzyka),
  • wykorzystywane lub były wykorzystywane w przypadku wystąpienia incydentów, które miały poważny wpływ na bezpieczeństwo,
  • wynikiem efektywnego wdrożenia i eksploatacji, a sys­temy są odpowiednio konserwowane i serwisowane,
  • zgodne z oczekiwaniami użytkownika,
  • zgodne z wymaganiami umownymi i biznesowymi.

Kto może przeprowadzić audyt?

Audytor – to osoba, która:

  • ocenia,
  • przeprowadza kontrolę,
  • dokonuje przeglądu,
  • sporządza raporty

w każdej z audytowanych branż, np. elektroniczne sys­temy zabezpieczeń, techniczne zabezpieczenia, branża energetyczna, informatyczna itp.

Ze względu na to, że zakres prowadzonego audytu jest zazwyczaj obszerny, zwłaszcza w obszarze bezpieczeństwa obiektów, należy zawsze posiłkować się ekspertami branżowymi, którzy występują jako audytorzy branżowi posiadający fachową wiedzę w swoich dziedzinach.

Audytorami są osoby przeszkolone w zakresie prowadzenia audytu i mające wiedzę dotyczącą przedmiotu audytu,
m.in.:

  • rzeczoznawca – to tytuł przyznawany na podstawie odpowiednich przepisów osobom o wysokich kwalifikacjach i odpowiednio dużym, udokumentowanym doświadczeniu w określonej dziedzinie i specjalizacji zawodowej,
  • ekspert – to specjalista, biegły rzeczoznawca powoływany do wydania orzeczenia lub opinii w sprawach spornych wchodzących w zakres jego kompetencji,
  • prawnik.

Audytor jest osobą zdolną do dokonania obiektywnej oceny zgodności audytowanego obszaru z normą, prawem, polityką, instrukcją, standardem czy dobrymi praktykami.

Planowanie audytu

Przeprowadzenie audytu jest przedsięwzięciem zaplanowanym i wcześniej przygotowanym. Plan audytu musi uwzględniać:

  • wyniki poprzednich audytów,
  • metody przeprowadzania audytu,
  • przyjęte kryteria i zakres, którego on dotyczy.

Realizacja audytu wymaga wyboru audytorów i sposobu przeprowadzenia audytu. Audytorzy powinni dawać gwarancję obiektywności i bezstronności całego procesu, tak więc w zespole audytowym nie powinny się znaleźć osoby, których praca dotyczy obszaru audytu. Wymagania i odpowiedzialność za planowanie i przeprowadzanie audytów w jednostce powinny zostać określone w procedurach polityki bezpieczeństwa lub w zarządzeniu bądź decyzji kierownika jednostki organizacyjnej, tak aby audytorzy posiadali udokumentowane uprawnienia do przeprowadzenia audytu, a ich dobór do zespołu opierał się na posiadanej przez nich odpowiedniej wiedzy, doświadczeniu oraz umiejętnościach.

Przykład przebiegu procesu audytu:

Inicjowanie audytu

 ↓

Przeprowadzenie przeglądu dokumentów

 ↓

Przygotowanie działań audytowych prowadzonych w miejscu audytu

 ↓

Prowadzenie działań audytowych w miejscu audytu

 ↓

Zakończenie audytu

 ↓

Przygotowanie i zatwierdzenie raportu z audytu

 ↓

Zapoznanie osób odpowiedzialnych za bezpieczeństwo z raportem z audytu

 ↓

Efektem działań audytowych jest prowadzenie
działań poaudytowych i wdrażanie zaleceń audytu


1. Inicjowanie audytu

W celu rozpoczęcia audytu należy:

  • Wyznaczyć audytorów oraz audytora wiodącego (kierownika zespołu) do danego audytu oraz sprawdzić uprawnienia, kompetencje i doświadczenie audytorów.
  • Określić cele audytu, jego zakres i kryteria. Audyt ma sprawdzić zgodność stanu zastanego z wymaganym. Zgodność ta jest oceniana na podstawie przyjętych kryteriów oceny.
  • Określić wykonalność audytu. Zaleca się określenie wykonalności audytu z uwzględnieniem następujących czynników:
    –     dostępność wystarczających i odpowiednich informacji,
    –     możliwość potrzebnej współpracy z audytowanym,
    –     adekwatny czas i zasoby (w tym dostępność osób i dostęp do obszarów audytowanych).

2. Rozpoczęcie audytu

Ważne jest właściwe rozpoczęcie audytu. Liczy się tzw. pierwszy kontakt z audytowanym. Rozpoczęcie audytu jest domeną kierownika zespołu audytowego (audytora wiodącego) – może ono być nieformalne lub formalne. Celem pierwszego kontaktu zespołu audytowego z komórką audy­towaną jest:

  • ustalenie sposobów komunikacji z przedstawicielami audytowanej komórki,
  • potwierdzenie uprawnień zespołu audytowego do przeprowadzenia audytu,
  • dostarczenie informacji dotyczących harmonogramu audytu oraz składu zespołu audytującego,
  • określenie zasad i wnioskowanie o dostęp do stosownych dokumentów i materiałów,
  • określenie zasad bezpieczeństwa mających zastosowanie w danym miejscu, w danej strefie ochronnej,
  • dokonanie ustaleń dotyczących audytu,
  • uzgodnienie uczestnictwa obserwatorów oraz osób komórki audytowanej, które będą „przewodnikiem” dla zespołu audytującego.

3. Przegląd dokumentacji normującej i opisującej sys­tem bezpieczeństwa (normy, polityki itp.)

Przed podjęciem działań audytowych zaleca się dokonanie przeglądu dokumentacji w celu określenia zgodności kryteriów audytu z normami technicznymi lub dotyczącymi zarządzania bezpieczeństwem informacji. Dokumentacja ta może obejmować odpowiednie dokumenty i zapisy dotyczące systemu zarządzania, a także raporty z poprzednich audytów. Podczas przeglądu zaleca się wziąć pod uwagę wielkość, charakter i złożoność jednostki organizacyjnej oraz cele i zakres audytu. Jeżeli dokumentacja okaże się nieodpowiednia, audytor wiodący powinien poinformować o tym odbiorcę audytu, osoby odpowiedzialne za zarządzanie programem audytów oraz audytowanego. Zaleca się podjęcie decyzji o kontynuacji audytu albo jego zawieszeniu do czasu rozwiązania kwestii związanych z dokumentacją.

4. Planowanie działań audytowych realizowanych na miejscu

Audytor powinien przygotować plan przeprowadzenia audytu stanowiący podstawę do uzgodnień pomiędzy odbiorcą audytu, zespołem audytującym oraz audytowanym. Zaleca się, żeby plan ułatwiał ustalenie terminów i koordynację działań audytowych. Plan audytu powinien być przejrzany i zaakceptowany przez odbiorcę audytu oraz przedstawiony audytowanemu przed rozpoczęciem działań audytowych. Wszelkie zastrzeżenia audytowanego powinny być rozstrzygnięte wspólnie przez audytora, audytowanego i odbiorcę audytu. Zaleca się, żeby przed kontynuowaniem audytu każda zmiana planu została uzgodniona pomiędzy stronami, których ona dotyczy.

5. Przeprowadzanie działań audytowych

Audyt powinien rozpocząć się od spotkania otwierającego, na którym powinien być obecny audytor oraz osoby odpowiedzialne za audytowane dziedziny, np. kierownicy działów.

Celem spotkania otwierającego jest:

  • potwierdzenie planu audytu,
  • krótkie zaprezentowanie tego, jak będą wykonywane działania audytowe,
  • potwierdzenie metod komunikowania się,
  • umożliwienie audytowanemu zadawania pytań.

Podczas audytu audytor wiodący powinien zgłaszać wszelkie zastrzeżenia i okresowo informować audytowanego i odbiorcę audytu o postępach w procesie audytu. Jest to dobra praktyka. Dowody zebrane podczas audytu, które wskazują na bezpośrednie i znaczące uchybienia, audytor powinien bezzwłocznie przekazać audytowanemu i – jeżeli to właściwe – odbiorcy audytu. Każda sprawa dotycząca problemu wybiegającego poza zakres audytu
powinna być odnotowana i przedstawiona audytorowi wiodącemu w celu ewentualnego zakomunikowania odbiorcy audytu i audytowanemu. Jeżeli dostępne dowody wskazują na to, że cele audytu są niemożliwe do osiągnięcia, zaleca się, żeby audytor wiodący przedstawił odbiorcy audytu i audytowanemu przyczyny tego, w celu podjęcia określonych działań. Działania te mogą obejmować potwierdzenie audytu lub zmianę jego planu, celów lub zakresu lub jego zakończenie. Każda potrzeba zmiany zakresu, która może pojawić się na skutek realizacji działań audytowych, powinna być omówiona z odbiorcą, przez niego zatwierdzona oraz, jeżeli to właściwe, sprawdzona i zatwierdzona przez audytowanego.

6. Zbieranie i weryfikowanie informacji

Informacje dotyczące celów, zakresu oraz kryteriów audytu, łącznie z informacją dotyczącą oddziaływania pomiędzy funkcjami, działaniami i procesami, powinny być gromadzone poprzez odpowiednie pobieranie próbek podczas audytu i weryfikowane. Tylko uzyskana podczas audytu informacja, która jest możliwa do zweryfikowania, może stanowić dowód. Taka informacja powinna być zapisana.

Najczęściej spotykanymi metodami zbierania informacji są:

  • rozmowy,
  • obserwacje działań i procesów,
  • przegląd dokumentów,
  • przegląd zapisów, rejestrów.

7. Ustalenia na podstawie audytu

Ustalenia mogą wskazywać na zgodność lub niezgodność z kryteriami, np. normami technicznymi. Jeżeli jej wykazanie było jednym z celów audytu, ustalenia mogą wskazać sposób poprawy.

W praktyce audyt ma na celu sprawdzenie i ustalenie podatności oraz funkcjonowania procedur i wymagań, które zostały wprowadzone w związku z określeniem poziomu zagrożenia. W szczególności audytorzy muszą zweryfikować adekwatność zabezpieczeń obiektu, uwzględniając przy tym następujące czynniki:

  • organizacja i prawne funkcjonowanie obiektu, z uwzględnieniem przeznaczenia obiektu, procesów biznesowych, jakie realizowane są w obiekcie, zasobów informacyjnych, które wymagają ochrony ze względu na wymagania prawne,
  • lokalizacja obiektu, środowisko naturalne, aspekty społeczne (np. możliwe manifestacje),
  • lokalny ruch mogący utrudnić dojazd służb ratunkowych i interwencyjnych, lokalizacja innych obiektów mogących mieć wpływ na powstanie potencjalnych zagrożeń (np. stacji benzynowej),
  • ewentualna obecność ogrodzenia wokół obiektu i stan tego ogrodzenia,
  • lokalizacja obiektu na obszarze zagrożonym powodzią, możliwa obecność interesantów (także z firm trzecich) poruszających się po obiekcie,
  • obsługa (serwis realizowany przez firmy zewnętrzne na terenie obiektu),
  • konstrukcja głównego budynku, jego odporność na włamanie,
  • cechy konstrukcyjne i architektoniczne budynku, które ułatwiają włamanie (stanowią podatności budynku na włamanie), np. niski parter, obecność gzymsu, dach połączony z dachem sąsiedniego budynku, nienadzorowane włazy techniczne, wejścia i klatki schodowe,
  • ochrona fizyczna (osobowa), a także sposób takiego chronienia obiektu (np. ochrona czasowa, ochrona zapewniana przez pracowników firmy posiadającej koncesję na usługi ochrony fizycznej, dodatkowa ochrona grup interwencyjnych),
  • funkcjonowanie w obiekcie zabezpieczeń elektronicznych i budowlano-mechanicznych umożliwiających zdalne przesyłanie sygnałów alarmowych do lokalnych lub zdalnych centrów nadzoru,
  • brak systemu alarmowego chroniącego obiekt,
  • zagrożenie pożarem, zastosowane zabezpieczenie techniczne i wymagania prawne w tym zakresie, np. ewentualny brak zabezpieczenia systemem sygnalizacji pożarowej w miejscach o dużej podatności,
  • inne zagrożenia – w tym środowiskowe, przestępcze i terrorystyczne.

Audyt zabezpieczenia technicznego obiektów powinien uwzględniać wyżej wymienione podatności, ale także procedury i wymagania, których zakres powinien obejmować:

  • zabezpieczenia techniczne;
  • specyfikę funkcjonalno-użytkową systemów alarmowych;
  • zabezpieczenia budowlano-mechaniczne adekwatne do poziomu zidentyfikowanych zagrożeń;
  • standardy i wymagania dotyczące ochrony obiektów;
  • plany ochrony;
  • specyficzne wymagania prawne, np. odnoszące się do utrzymania infrastruktury krytycznej;
  • ochronę informacji niejawnych;
  • ochronę danych osobowych;
  • wymagania prawne w zakresie projektowania, instalacji i serwisowania systemów zabezpieczeń technicznych;
  • wymagania prawne dotyczące bezpieczeństwa obsługi;
  • instalację i projektowanie systemów przetwarzania danych;
  • bezpieczeństwo zasobów ludzkich;
  • procedury, umowy i regulaminy dotyczące oświadczenia o zachowaniu poufności dotyczące:
    –     pracowników zajmujących się ochroną fizyczną,
    –     portierów,
    –     pracowników zajmujących się serwisem technicznym,
    –     pracowników patrolujących lub interweniujących oraz innych pracowników i współpracowników uczestniczących bezpośrednio lub pośrednio w procesie bezpieczeństwa obiektu;
  • zaangażowanie kierownictwa w zapewnienie bezpieczeństwa;
  • świadomość kierownictwa w zakresie bezpieczeństwa czy też podejmowanie decyzji w zakresie finansowania bezpieczeństwa obiektu;
  • zabezpieczenia organizacyjne;
  • procedury dotyczące:
    –     eksploatacji i serwisu zabezpieczeń technicznych,
    –     ruchu osobowo-materiałowego,
    –     reagowania na zagrożenia (scenariusze działań),
    –     ochrony informacji,
    –     szacowania ryzyka i określania poziomu zagrożeń,
    –     zachowania ciągłości działania, stref ochrony,
  • inne wymagania organizacyjne.

8. Wnioski z audytu

Zespół audytujący przed zakończeniem audytu i przygotowaniem raportu, który będzie dotyczył przeprowadzonych czynności oraz wynikających z nich wniosków i zaleceń, powinien odbyć posiedzenie i omówić wstępnie
wszystkie czynności, które zostały przeprowadzone, i przygotować się do spotkania zamykającego audyt w celu:

  • sprawdzenia, co ustalono podczas audytu i jakie informacje zebrano w związku z obranymi celami,
  • uzgodnienia wniosków z uwzględnieniem niepewności związanej z audytowaniem,
  • przygotowania rekomendacji, jeżeli taki jest jeden z wyznaczonych celów,
  • przedyskutowania działań po audycie, jeżeli uwzględniono je w planie.

9. Spotkanie kończące audyt

Spotkanie kończące audyt, prowadzone przez audytora wiodącego, powinno odbyć się w celu przedstawienia ustaleń oraz wniosków z audytu. Wnioski powinny być zrozumiałe dla audytowanego, a zrozumienie przedmiotu
audytu powinno być przez niego potwierdzone.

W trakcie spotkania powinno dojść do ustalenia przez audytowanego terminu przedstawienia planu działań korygujących i zapobiegawczych. W spotkaniu kończącym powinni uczestniczyć wszyscy audytowani, ale może w nim uczestniczyć także odbiorca audytu i inne strony. Jeżeli to konieczne, zaleca się, żeby audytor poinformował audytowanego o zaistniałych w trakcie audytu sytuacjach, które mogą negatywnie wpłynąć na ocenę wniosków z audytu. W niektórych przypadkach, np. po audycie w małym przedsiębiorstwie, spotkanie zamykające może polegać tylko na zakomunikowaniu ustaleń i wniosków. Zazwyczaj jednak powinno mieć charakter formalny i być zgodne ze wszystkimi zasadami, łącznie ze składaniem podpisów na liście obecności. Wszelkie rozbieżne opinie zespołu
audytującego i audytowanego dotyczące ustaleń i wnios­ków powinny być przedyskutowane i – jeśli to możliwe
– uzgodnione. W przypadku braku zgodności opinii zaleca się zapisanie obu opinii w raporcie z audytu. Raport powinien zawierać rekomendacje dotyczące sposobu poprawy stanu, jeżeli taki jest jeden z celów audytu.

10. Zakończenie audytu

Audyt będzie zakończony, gdy zostaną wykonane wszystkie działania opisane w planie i zatwierdzony raport zostanie rozesłany. Dokumenty dotyczące audytu powinny być zachowane lub zniszczone – na podstawie uzgodnień pomiędzy stronami uczestniczącymi oraz zgodnie z procedurami, mającymi zastosowanie przepisami oraz wymaganiami wynikającymi z umów. Zespół audytujący oraz osoby odpowiedzialne za zarządzanie programem audytów nie powinny ujawniać osobom trzecim zawartości dokumentów, innych informacji uzyskanych podczas audytu lub raportu z audytu bez jasno wyrażonego pozwolenia odbiorcy audytu i – jeżeli to właściwe – audytowanego, chyba że działanie takie jest nakazane przez prawo. Jeżeli wymagane jest ujawnienie zawartości dokumentu dotyczącego audytu, zaleca się jak najszybsze poinformowanie o tym odbiorcy audytu i audytowanego.

11. Przygotowanie raportu dotyczącego audytu

Audytor jest odpowiedzialny za przygotowanie i treść raportu dotyczącego audytu. Zaleca się, żeby raport ten zawierał kompletne, dokładne, zwięzłe i jasne informacje dotyczące audytu. Powinien obejmować:

  • wskazanie celów audytu,
  • podanie czasu trwania audytu,
  • określenie zakresu audytu, w szczególności wskazanie audytowanych jednostek organizacyjnych i funkcjonalnych lub audytowanych procesów,
  • wskazanie odbiorcy audytu,
  • wskazanie audytora wiodącego i członków zespołu audytującego,
  • podanie daty i miejsca prowadzenia działań audytowych na miejscu.

Raport powinien powoływać się na:

  • kryteria dotyczące audytu,
  • ustalenia wynikające z audytu,
  • wnioski wypływające z audytu.

Raport dotyczący audytu jest tworzony na podstawie indywidualnego wzoru dostosowanego do potrzeb odbiorcy audytu.

12. Zatwierdzenie i rozpowszechnianie raportu dotyczącego audytu

Raport dotyczący audytu powinien być przekazany w uzgodnionym terminie. Jeżeli nie jest to możliwe, należy zakomunikować odbiorcy audytu przyczyny opóźnienia oraz uzgodnić nowy termin przesłania raportu. Raport powinien być zatwierdzony, a następnie rozesłany do odbiorców wskazanych przez odbiorcę audytu. Raport dotyczący audytu jest własnością odbiorcy audytu. Członkowie zespołu audytującego (audytor) oraz wszyscy odbiorcy raportu powinni przestrzegać zasad dotyczących poufności raportu.

13. Działania po zakończeniu audytu

Wnioski wypływające z audytu mogą wskazywać na potrzebę podjęcia działań korygujących, naprawczych lub doskonalących, jeżeli ma to zastosowanie. Takie działania są zwykle określane i podejmowane przez audytowanego w uzgodnionym terminie oraz nie są uważane za część audytu. Zaleca się, żeby audytowany informował odbiorcę audytu o statusie tych działań.

14. Weryfikacja zakończenia i skuteczności działań korygujących

Weryfikacja taka może być częścią następnego audytu, którego celem będzie także sprawdzenie skuteczności i efektywności działań korygujących. Program audytu może określać udział zespołu audytującego w działaniach po audycie, które przynoszą dodatkową korzyść dzięki już zdobytemu przez ten zespół doświadczeniu. Należy zadbać o bezstronność zespołu, jeżeli będzie on wykonywał dodatkowe działania audytowe.