Dynamiczny rozwój organizacji biznesowych stawia przed nimi wciąż nowe wyzwania. Firmy stają się coraz bardziej rozbudowane, dysponują majątkiem olbrzymiej wartości.

Tym samym potrzeby dotyczące bezpieczeństwa są coraz większe, odnoszą się do bardziej zaawansowanych systemów technicznych, a także – szerzej niż dotychczas – dotyczą kwestii organizacji przedsiębiorstw.

Wzrost zaawansowania środków bezpieczeństwa, zwłaszcza systemów zabezpieczeń technicznych, wiąże się z jednej strony ze wzrostem wartości chronionych zasobów, z drugiej zaś jest odpowiedzią na postępujące zaawansowanie środowisk przestępczych i doskonalenie przez nie technik stosowanych w czasie dokonywania czynów zabronionych. Stosowanie w systemach bezpieczeństwa bardziej zaawansowanych rozwiązań organizacyjno-technicznych związane jest także z większymi nakładami ponoszonymi przez organizacje. Zwiększenie wydatków na inwestycje w bezpieczeństwo, jako jeden z elementów determinujących konkurencyjność firm, wiąże się z potrzebą ich kontroli oraz optymalizacji. Wszystko to powoduje, że sprawne zarządzanie przedsiębiorstwami staje się niezbędnym elementem bytu organizacji biznesowych. Również kwestie bezpieczeństwa, w związku z ich coraz większym znaczeniem i coraz większym stopniem skomplikowania, wymagają tworzenia struktur zarządzających.

W wielu instytucjach powołuje się osoby lub działy do zarządzania bezpieczeństwem. Z reguły zajmują się one sprawami tworzenia i bieżącego utrzymania infrastruktury bezpieczeństwa. Jednak – wraz ze wzrostem znaczenia zarządzania bezpieczeństwem – coraz częściej do obowiązków tych osób (działów) wchodzi kreowanie polityki bezpieczeństwa, zarówno w wymiarze operacyjnym, jak i ekonomiczno-organizacyjnym. Jednym z elementów procesu jest poznanie potrzeb organizacji w zakresie systemów bezpieczeństwa. Jest to związane z potrzebą dokonania analizy zagrożeń oraz analizy efektywności stosowanych rozwiązań. Narzędziem powszechnie stosowanym jest audyt bezpieczeństwa Jest on także jednym z ważniejszych elementów systemu zarządzania bezpieczeństwem. Jako proces oce- niający stan bezpieczeństwa obiektów, mienia i procesów danej organizacji jest materiałem służącym do uzyskania informacji na temat aktualnego poziomu ochrony osób i mienia, jego stanu w odniesieniu do funkcjonujących regulacji prawnych, powszechnych standardów bezpieczeństwa, tzw. dobrych praktyk, oraz polityki bezpieczeństwa organizacji. Jednym z celów audytu bezpieczeństwa jest podniesienie poziomu bezpieczeństwa i zwiększenie efektywności zastosowanych rozwiązań poprzez ujawnienie zasobów niewykorzystanych bądź wykorzystanych niewłaściwie.

Audyt bezpieczeństwa przybiera różne formy. W naszym kraju prowadzenie tego procesu jest jeszcze stosunkowo rzadkie. Można by odnieść wrażenie, że organizacje biznesowe nie doceniają jego zalet, choć bardziej prawdopodobna teza głosiłaby, iż trudno znaleźć security managera, a nawet specjalistyczną firmę potrafiących w sposób prosty i zrozumiały przedstawić oraz uzasadnić kryteria stosowane w ocenie stanu bezpieczeństwa organizacji. Również w zakresie sposobu prowadzenia tego procesu istnieje wiele szkół, zaś znalezienie dostawcy tej usługi, posiadającego – opracowaną na podstawie wieloletniego doświadczenia – metodykę prowadzenia audytu bezpieczeństwa, jest dość trudne. Rodzi się więc pytanie: w jaki sposób podejść systemowo do tak trudnego i wrażliwego procesu, jakim jest ocena stanu bezpieczeństwa?

Zacznijmy od początku...

Pierwszym krokiem jest przygotowanie audytu. Najlepiej zacząć od usystematyzowania wiedzy, a więc zająć się metodyką. Pojęcie to jedynie z pozoru jest skomplikowane, bowiem: metodyka, to zbiór zasad dotyczących sposobów postępowania, efektywnych ze względu na określony cel; niekiedy nazwa szczegółowych norm postępowania swoistego dla danej nauki1. Nieco szerzej pojęcie metodyki jest opisane w literaturze dotyczącej audytów wewnętrznych, gdzie rozumiane jest ono jako: organizacja pracy, pisemne procedury, sposób prowadzenia audytu, stosowane standardy oraz podstawowe techniki stosowane w audycie wewnętrznym2. Jak więc wynika z przytoczonych definicji, metodyka opisuje w sposób kompleksowy proces, jakim jest audyt, porządkując jednocześnie jego aspekty organizacyjne i operacyjne. To właśnie metodyka powinna odpowiadać na pytania: kto? co? jak kontroluje? A zatem pierwszym krokiem powinno być określenie osoby przeprowadzającej audyt. W tym miejscu należy zauważyć, że audyty mogą być zarówno wewnętrzne, jak i zewnętrzne. W przypadku audytu wewnętrznego osobą przeprowadzającą powinien być security manager. Co jednak zrobić, gdy w firmie nie ma takiej osoby? Wtedy sprawa jest bardziej skomplikowana, bowiem aby dokonać oceny stanu określonego procesu, należy mieć wiedzę, jak on wygląda, bądź posiadać kryteria jego oceny. Wydaje się zasadne stwierdzenie, że osoby pełniące obowiązki security managerów z reguły (choć nie zawsze) posiadają wykształcenie kierunkowe i doświadczenie na stanowiskach związanych z bezpieczeństwem. Natomiast w przypadkach, gdy bezpieczeństwem zajmują się osoby nie będące typowymi CSO, doświadczenie może być zróżnicowane, wykształcenie zaś – zależne od wielu czynników (wymagania organizacji, wymagania prawne, wreszcie zwyczajna chęć danej osoby do kształcenia się w zakresie bezpieczeństwa). Niezależnie od tego konieczne jest powierzenie przygotowania metodyki audytu bezpieczeństwa osobie posiadającej odpowiednie kwalifikacje. W jednym z poprzednich numerów CSO prezentowaliśmy przegląd certyfikatów ochrony osób i mienia. Oprócz norm prawnych funkcjonują tzw. dobre praktyki, na rynku zaś można znaleźć szkolenia, a nawet studia licencjackie, magisterskie i podyplomowe z zakresu bezpieczeństwa. Dobrze byłoby, aby osoba przygotowująca metodykę posiadała ponadprzeciętne wykształcenie i doświadczenie.

Co? kiedy? jak?

Każdy proces można audytować na wiele sposobów. W poprzednim artykule dotyczącym zarządzania bezpieczeństwem przedstawiłem propozycję trzech poziomów audytu:

1. skróconego audytu bezpieczeństwa – w odniesieniu do obiektu, procesu i całej organizacji;
2. rozszerzonego audytu bezpieczeństwa – odnoszącego się do obiektu i procesu przeprowadzanego na podstawie audytu skróconego, gdy któryś z ocenianych parametrów nie osiągnął poziomu uważanego za pożądany;
3. pełnego audytu bezpieczeństwa – jako procesu kompleksowo oceniającego organizację.

Układ ten jest jedynie wizją kompleksowej oceny stanu bezpieczeństwa. Intencją moją było przedstawienie procesu audytu bezpieczeństwa jako narzędzia systemowego o następującej charakterystyce:

a) Szybka ocena obiektu, procesu lub całej organizacji na podstawie systemu kluczowych wskaźników bezpieczeństwa zawartych w skróconym audycie bezpieczeństwa, przez co proces ten można by wykonywać bez dużego nakładu czasu, wykorzystując także osoby nie będące w strukturze działu bezpieczeństwa. Skrócony audyt bezpieczeństwa jest najmniej dokładny. Ma jednak zasadniczą zaletę – może być przeprowadzany dość często, dając informacje umożliwiające określenie trendów bezpieczeństwa.

b) Bardziej szczegółowe przeanalizowanie miejsc bądź procesów podwyższonego ryzyka w trakcie rozszerzonego audytu bezpieczeństwa, które zostały wskazane w trakcie skróconego audytu bezpieczeństwa.

c) Dokładne przeanalizowanie stanu bezpieczeństwa organizacji poprzez wykonanie pełnego audytu bezpieczeństwa, jednak z założeniem, że proces ten wymaga należytej uwagi i tym samym jest pracochłonny.

Istotnym aspektem jest częstotliwość przeprowadzania audytów. W dużej mierze zależy ona od potrzeb organizacji, jej charakteru oraz zagrożeń dla bezpieczeństwa. Cykl kontrolny powinien zostać ustalony i zawarty w polityce bezpieczeństwa. Proponowaną częstotliwość przeprowadzania poszczególnych rodzajów audytów przedstawia tabela na str. 12.

Czynnością mającą największy wpływ na przydatność audytu jest określenie kluczowych wskaźników bezpieczeństwa (KWB). Proces ten tylko w części może być uniwersalny. Wynika to z faktu, że każda organizacja ma indywidualny charakter, podlega charakterystycznym dla niej czynnikom wynikającym z jej profilu, lokalizacji itd. Niezależnie od tego można wyróżnić konkretne kategorie, które powinny zostać poddane dokładnej analizie w trakcie audytów bezpieczeństwa:

1. Lokalizacja obiektu (obiektów), czyli charakterystyka regionu, miejscowości i naj- bliższego sąsiedztwa
2. Charakterystyka terenu zewnętrznego obiektu
3. Systemy zabezpieczeń
   1. zabezpieczenia budowlane
   2. zabezpieczenia mechaniczne
   3. zabezpieczenia techniczne
4. Ochrona fizyczna
5. Procedury bezpieczeństwa
6. Organizacyjne aspekty bezpieczeństwa

Liczbę głównych wskaźników bezpieczeństwa oraz wagi im przyznane również w pewnym zakresie można określić w miarę uniwersalnie. Jednak z uwagi na fakt, że tak szczegółowe ujęcie problemu, z uwzględnieniem specyfiki poszczególnych rodzajów obiektów (biurowe, przemysłowe, centra handlowe itd.), wymagałoby obszernego opisu, podam jedynie przykład: wiadomo powszechnie, że szczególnym zainteresowaniem cieszą się systemy wykrywania włamania i napadu, co uzasadniane jest tym, iż są to najpoważniejsze zagrożenia. Niewątpliwie, są one poważne i przynoszą duże straty. Czy jednak takie wąskie spojrzenie nie powoduje powstania luki w systemie bezpieczeństwa? Otóż włamanie i napad są jedynie wycinkiem zagrożeń i analizowanie ich w oderwaniu od pożaru jest poważnym błędem. Porzekadło mówi: złodziej bierze tyle, ile zdoła unieść, a ogień bierze wszystko (złośliwi dodają: czego ogień nie zabierze, zaleją wodą strażacy – coś w tym jest...). Tak więc analiza oparta na kluczowych wskaźnikach bezpieczeństwa powinna być z jednej strony dostosowana do specyfiki obiektu, z drugiej zaś musi uwzględniać wszystkie formy i systemy ochrony. Podobnie jest z analizą konkretnych systemów. Ocena „tak” lub „nie” będzie zawodna, gdy będziemy analizowali jedynie fakt funkcjonowania systemu (jest – dobrze, nie ma – źle). Systemy mają bowiem to do siebie, że oprócz samego faktu istnienia w obiekcie można je scharakteryzować jeszcze na kilka sposobów, np.:

lepsze – gorsze;

starsze – nowsze;

sprawne – niesprawne;

serwisowane – nieserwisowane...

Z pewnością można by wymienić jeszcze kilka takich par, celowo nie zakończyłem tej części, aby inni CSO mogli wykazać się inwencją. Nie ulega jednak wątpliwości, że np. system regularnie serwisowany będzie w lepszym stanie i zdecydowanie mniej podatny na awarie niż ten, który od czasu zainstalowania nie był przeglądany. A przecież sprawność systemu to istotny wskaźnik bezpieczeństwa.

Podobnie wygląda sprawa w odniesieniu do rozszerzonego audytu bezpieczeństwa. Tu jednak skupiamy się na obiektach i procesach, które w wyniku audytu skróconego zostały określone jako „problematyczne”. W takim przypadku trudno już analizować je na podstawie KWB, bowiem analiza taka nie da odpowiedzi na najważniejsze pytanie: „dlaczego?”. Audyt rozszerzony wymaga przygotowania się, zrozumienia, jakie cechy charakteryzują obiekt lub proces, jakie znaczenie ma on dla organizacji? Dopiero po takim wstępie możliwe jest poddanie go analizie opartej na:

1. wywiadach przeprowadzonych z osobami odpowiedzialnymi za obiekt/proces, osobami mającymi wiedzę na temat otoczenia obiektu lub będącymi dostawcami/odbiorcami dla procesu;
2. obserwacji obiektu, jego otoczenia, osób w nim pracujących, zachodzących tam procesów;
3. analizie zgodności procesów z procedurami (z reguły non-security).

Audyt rozszerzony powinien dać odpowiedź na pytanie, jakie czynniki powodują, że stan bezpieczeństwa obiektu/procesu jest niezadowalający. Na bazie takich wniosków można – a nawet należy – przedstawić rekomendacje, zgodne z celami biznesowymi organizacji i obowiązującymi standardami bezpieczeństwa.

Procesem o największym zakresie, wymagającym największej wiedzy i zaangażowania, jest pełny audyt bezpieczeństwa. W organizacjach dużych, traktujących sprawy bezpieczeństwa jako istotny składnik działalności firmy, proces ten zlecany jest z reguły partnerom zewnętrznym. U podstaw takiego działania leży przeświadczenie, że spojrzenie z boku pozwala dostrzec problemy, ale także szanse, niedostrzegane przez personel firmy. Pogląd ten jest w pełni uzasadniony, bowiem nawet security manager o dużym doświadczeniu – przebywając dłuższy czas w jednej organizacji – może mieć tendencję do niedoceniania bądź przeceniania różnych czynników mających wpływ na bezpieczeństwo. Zewnętrzny audytor, bazujący na doświadczeniach zobytych w licznych organizacjach o podobnym charakterze, rozmiarze i zagrożeniach, może wnieść wiele cennych obserwacji, wniosków i rekomendacji. Podobnie jak w przypadku audytu rozszerzonego podstawowymi metodami pracy są: wywiady, obserwacje, analizy dokumentów. Pełny audyt bezpieczeństwa powinien być przedstawiony w formie dość obszernego raportu pisemnego, zawierającego dokumentację potwierdzającą przedstawione obserwacje (np. fotografie). Istotną cechą tego typu audytu jest możliwość przedstawienia go zarządowi firmy audytowanej w postaci zwięzłego streszczenia. Taka forma jest okazją – niekiedy jedyną – do zainteresowania problematyką bezpieczeństwa zarządu firmy. Tym samym pełny audyt bezpieczeństwa jest narzędziem, które ma najpoważniejszy wpływ na politykę bezpieczeństwa.

Audyt bezpieczeństwa jest w naszym kraju jeszcze dość młodym narzędziem, znanym przede wszystkim w oddziałach zachodnich korporacji. Pora wziąć przykład, zwłaszcza że narzędzie to stanowi relatywnie tani czynnik wzrostu poziomu bezpieczeństwa.