|
|
|
Zarządzanie bezpieczeństwem - audyt bezpieczeństwa |
|
|
|
|
Strona 1 z 2
Dynamiczny rozwój organizacji biznesowych stawia przed nimi wciąż nowe wyzwania. Firmy stają się coraz bardziej rozbudowane, dysponują majątkiem olbrzymiej wartości.
Tym samym potrzeby dotyczące bezpieczeństwa są coraz większe, odnoszą się do bardziej zaawansowanych systemów technicznych, a także - szerzej niż dotychczas - dotyczą kwestii organizacji przedsiębiorstw.
Wzrost zaawansowania środków bezpieczeństwa, zwłaszcza systemów zabezpieczeń technicznych, wiąże się z jednej strony ze wzrostem wartości chronionych zasobów, z drugiej zaś jest odpowiedzią na postępujące zaawansowanie środowisk przestępczych i doskonalenie przez nie technik stosowanych w czasie dokonywania czynów zabronionych. Stosowanie w systemach bezpieczeństwa bardziej zaawansowanych rozwiązań organizacyjno-technicznych związane jest także z większymi nakładami ponoszonymi przez organizacje. Zwiększenie wydatków na inwestycje w bezpieczeństwo, jako jeden z elementów determinujących konkurencyjność firm, wiąże się z potrzebą ich kontroli oraz optymalizacji. Wszystko to powoduje, że sprawne zarządzanie przedsiębiorstwami staje się niezbędnym elementem bytu organizacji biznesowych. Również kwestie bezpieczeństwa, w związku z ich coraz większym znaczeniem i coraz większym stopniem skomplikowania, wymagają tworzenia struktur zarządzających.
W wielu instytucjach powołuje się osoby lub działy do zarządzania bezpieczeństwem. Z reguły zajmują się one sprawami tworzenia i bieżącego utrzymania infrastruktury bezpieczeństwa. Jednak - wraz ze wzrostem znaczenia zarządzania bezpieczeństwem - coraz częściej do obowiązków tych osób (działów) wchodzi kreowanie polityki bezpieczeństwa, zarówno w wymiarze operacyjnym, jak i ekonomiczno-organizacyjnym. Jednym z elementów procesu jest poznanie potrzeb organizacji w zakresie systemów bezpieczeństwa. Jest to związane z potrzebą dokonania analizy zagrożeń oraz analizy efektywności stosowanych rozwiązań. Narzędziem powszechnie stosowanym jest audyt bezpieczeństwa Jest on także jednym z ważniejszych elementów systemu zarządzania bezpieczeństwem. Jako proces oce- niający stan bezpieczeństwa obiektów, mienia i procesów danej organizacji jest materiałem służącym do uzyskania informacji na temat aktualnego poziomu ochrony osób i mienia, jego stanu w odniesieniu do funkcjonujących regulacji prawnych, powszechnych standardów bezpieczeństwa, tzw. dobrych praktyk, oraz polityki bezpieczeństwa organizacji. Jednym z celów audytu bezpieczeństwa jest podniesienie poziomu bezpieczeństwa i zwiększenie efektywności zastosowanych rozwiązań poprzez ujawnienie zasobów niewykorzystanych bądź wykorzystanych niewłaściwie.
Audyt bezpieczeństwa przybiera różne formy. W naszym kraju prowadzenie tego procesu jest jeszcze stosunkowo rzadkie. Można by odnieść wrażenie, że organizacje biznesowe nie doceniają jego zalet, choć bardziej prawdopodobna teza głosiłaby, iż trudno znaleźć security managera, a nawet specjalistyczną firmę potrafiących w sposób prosty i zrozumiały przedstawić oraz uzasadnić kryteria stosowane w ocenie stanu bezpieczeństwa organizacji. Również w zakresie sposobu prowadzenia tego procesu istnieje wiele szkół, zaś znalezienie dostawcy tej usługi, posiadającego - opracowaną na podstawie wieloletniego doświadczenia - metodykę prowadzenia audytu bezpieczeństwa, jest dość trudne. Rodzi się więc pytanie: w jaki sposób podejść systemowo do tak trudnego i wrażliwego procesu, jakim jest ocena stanu bezpieczeństwa?
Zacznijmy od początku...
Pierwszym krokiem jest przygotowanie audytu. Najlepiej zacząć od usystematyzowania wiedzy, a więc zająć się metodyką. Pojęcie to jedynie z pozoru jest skomplikowane, bowiem: metodyka, to zbiór zasad dotyczących sposobów postępowania, efektywnych ze względu na określony cel; niekiedy nazwa szczegółowych norm postępowania swoistego dla danej nauki1. Nieco szerzej pojęcie metodyki jest opisane w literaturze dotyczącej audytów wewnętrznych, gdzie rozumiane jest ono jako: organizacja pracy, pisemne procedury, sposób prowadzenia audytu, stosowane standardy oraz podstawowe techniki stosowane w audycie wewnętrznym2. Jak więc wynika z przytoczonych definicji, metodyka opisuje w sposób kompleksowy proces, jakim jest audyt, porządkując jednocześnie jego aspekty organizacyjne i operacyjne. To właśnie metodyka powinna odpowiadać na pytania: kto? co? jak kontroluje? A zatem pierwszym krokiem powinno być określenie osoby przeprowadzającej audyt. W tym miejscu należy zauważyć, że audyty mogą być zarówno wewnętrzne, jak i zewnętrzne. W przypadku audytu wewnętrznego osobą przeprowadzającą powinien być security manager. Co jednak zrobić, gdy w firmie nie ma takiej osoby? Wtedy sprawa jest bardziej skomplikowana, bowiem aby dokonać oceny stanu określonego procesu, należy mieć wiedzę, jak on wygląda, bądź posiadać kryteria jego oceny. Wydaje się zasadne stwierdzenie, że osoby pełniące obowiązki security managerów z reguły (choć nie zawsze) posiadają wykształcenie kierunkowe i doświadczenie na stanowiskach związanych z bezpieczeństwem. Natomiast w przypadkach, gdy bezpieczeństwem zajmują się osoby nie będące typowymi CSO, doświadczenie może być zróżnicowane, wykształcenie zaś - zależne od wielu czynników (wymagania organizacji, wymagania prawne, wreszcie zwyczajna chęć danej osoby do kształcenia się w zakresie bezpieczeństwa). Niezależnie od tego konieczne jest powierzenie przygotowania metodyki audytu bezpieczeństwa osobie posiadającej odpowiednie kwalifikacje. W jednym z poprzednich numerów CSO prezentowaliśmy przegląd certyfikatów ochrony osób i mienia. Oprócz norm prawnych funkcjonują tzw. dobre praktyki, na rynku zaś można znaleźć szkolenia, a nawet studia licencjackie, magisterskie i podyplomowe z zakresu bezpieczeństwa. Dobrze byłoby, aby osoba przygotowująca metodykę posiadała ponadprzeciętne wykształcenie i doświadczenie.
Co? kiedy? jak?
Każdy proces można audytować na wiele sposobów. W poprzednim artykule dotyczącym zarządzania bezpieczeństwem przedstawiłem propozycję trzech poziomów audytu:
a) skróconego audytu bezpieczeństwa - w odniesieniu do obiektu, procesu i całej organizacji;
b) rozszerzonego audytu bezpieczeństwa - odnoszącego się do obiektu i procesu przeprowadzanego na podstawie audytu skróconego, gdy któryś z ocenianych parametrów nie osiągnął poziomu uważanego za pożądany;
c) pełnego audytu bezpieczeństwa - jako procesu kompleksowo oceniającego organizację.
Układ ten jest jedynie wizją kompleksowej oceny stanu bezpieczeństwa. Intencją moją było przedstawienie procesu audytu bezpieczeństwa jako narzędzia systemowego o następującej charakterystyce:
a) Szybka ocena obiektu, procesu lub całej organizacji na podstawie systemu kluczowych wskaźników bezpieczeństwa zawartych w skróconym audycie bezpieczeństwa, przez co proces ten można by wykonywać bez dużego nakładu czasu, wykorzystując także osoby nie będące w strukturze działu bezpieczeństwa. Skrócony audyt bezpieczeństwa jest najmniej dokładny. Ma jednak zasadniczą zaletę - może być przeprowadzany dość często, dając informacje umożliwiające określenie trendów bezpieczeństwa.
b) Bardziej szczegółowe przeanalizowanie miejsc bądź procesów podwyższonego ryzyka w trakcie rozszerzonego audytu bezpieczeństwa, które zostały wskazane w trakcie skróconego audytu bezpieczeństwa.
c) Dokładne przeanalizowanie stanu bezpieczeństwa organizacji poprzez wykonanie pełnego audytu bezpieczeństwa, jednak z założeniem, że proces ten wymaga należytej uwagi i tym samym jest pracochłonny.
Istotnym aspektem jest częstotliwość przeprowadzania audytów. W dużej mierze zależy ona od potrzeb organizacji, jej charakteru oraz zagrożeń dla bezpieczeństwa. Cykl kontrolny powinien zostać ustalony i zawarty w polityce bezpieczeństwa. Proponowaną częstotliwość przeprowadzania poszczególnych rodzajów audytów przedstawia tabela na str. 12.
Czynnością mającą największy wpływ na przydatność audytu jest określenie kluczowych wskaźników bezpieczeństwa (KWB). Proces ten tylko w części może być uniwersalny. Wynika to z faktu, że każda organizacja ma indywidualny charakter, podlega charakterystycznym dla niej czynnikom wynikającym z jej profilu, lokalizacji itd. Niezależnie od tego można wyróżnić konkretne kategorie, które powinny zostać poddane dokładnej analizie w trakcie audytów bezpieczeństwa:
- Lokalizacja obiektu (obiektów), czyli charakterystyka regionu, miejscowości i naj- bliższego sąsiedztwa
- Charakterystyka terenu zewnętrznego obiektu
- Systemy zabezpieczeń
- zabezpieczenia budowlane
- zabezpieczenia mechaniczne
- zabezpieczenia techniczne
- systemy sygnalizacji włamania i napadu
- systemy kontroli dostępu
- systemy telewizji dozorowej
- systemy wykrywania pożaru
- Ochrona fizyczna
- Procedury bezpieczeństwa
- Organizacyjne aspekty bezpieczeństwa
|
Zmieniony ( 13.09.2007. )
|
|
Najnowsze opinie/felietony
|
