Upoważnienia w audycie

Niniejszy artykuł poświęcony jest problematyce upoważnia audytorów do realizacji niektórych zadań koniecznych do realizacji audytu. Z pozoru rzecz bardzo prosta i banalna, jedno upoważnienie i powinno rozstrzygnąć problem. Niestety, tak nie jest, a sprowadzanie samej czynności upoważnienia do dokumentu o tej samej nazwie często jest błędem. Czasem skutkującym nawet pewnymi sankcjami.

KONTEKST

Zacznijmy na początek od kontekstu. Audyt jako czynność nawet jeśli jest wykonywana w pewnym wąskim obszarze dotyka praktycznie całości organizacji. Oznacza to, że nawet mały zakres audytu, dość wąski i specjalistyczny – np. bezpieczeństwa pożarowego, fizycznego, ochrony danych osobowych będą odnosiły się również do całości organizacji. Oznacza to, że aby sprawdzić, czy oceniany system czy obszar są spójne z organizacją, są właściwe realizowane we wszystkich komórkach, na stanowiskach – dotknąć musimy również innych obszarów.

JAK STWORZYĆ WŁAŚCIWE UPOWAŻNIENIE?

Pytanie z pozoru proste, jednak jak zgłębimy się, okazuje się, że natrafimy na sporo wymagań dodatkowych. Proponuję na początek podejść do upoważnienia nie jako do dokumentu, a jako do czynności. A dokument ma materializować owe czynności w sposób precyzyjny i zgodny z ustalonymi w organizacji zasadami.

OBSZAR DZIAŁANIA

Po stronie zespołu audytu leży wskazanie obszarów przeznaczonych do badania. Czyli miejsc w których poszukiwane będą zgodności działania z założeniami systemu. Oznacza to, że audytor wiodący powinien wskazać, jeszcze przed fazą I audytu – a więc pozyskaniem dokumentacji, jaki zakres leży w zainteresowaniu zespołu, wskazując jednocześnie komórki organizacyjne w jakich będzie prowadził czynności w ramach audytu. Na ogół na tym etapie, gdzie jeszcze nie znamy organizacji, stosuje się formułkę:

„komórka organizacyjna właściwa do spraw….”

Na podstawie takiego szkicu planu audytu, po stronie zleceniodawcy leży ocena, jakich upoważnień zespół będzie potrzebował.

SPOSÓB UPOWAŻNIENIA

Z tym bywają spore problemy, ponieważ wielu zleceniodawców audytu uważa, że wystarczy standardowe upoważnienie, załączane jako wzór w umowie o audyt. Niestety, nie zawsze jest to wystarczające, a idąc dalej, w niektórych przypadkach zespół audytorów potrafi wykazać nieprawidłowe upoważnienie jako niezgodność (jeśli jest to obszar wchodzący w zakres audytu) lub co najmniej wskazać jako potencjalną niezgodność (rozdział III raportu – zakresy nie objęte audytem). Ten drugi obszar wynika nie z umowy, a z zasad pracy audytora. Jedna z nich mówi, że jeśli w toku czynności ujawnione zostały inne działania, które mogą stanowić niezgodność, audytor jest zobowiązany o nich poinformować.

Niezgodność, czy też potencjalna niezgodność wynikać może ze szczegółowych regulacji, jakie u zleceniodawcy funkcjonują. Najczęściej regulowanymi obszarami są:

Ochrona danych osobowych, w trakcie audytu sprawdzane między innymi akta osobowe, w zakresie szkoleń na stanowiskach, związanych z określoną funkcją czy rolą w systemie bezpieczeństwa, kwalifikacje zawodowe – wymagane (jeśli istnieją) etc. Do dostępu do danych osobowych stosowane powinny być standardowe upoważnienia wynikające z Polityki Bezpieczeństwa danych osobowych lub podobnego dokumentu (niektóre firmy nazywają je różnie).

Instrukcja ruchu osobowego – w zakresie uprawnień do wstępu do określonych stref. W wielu organizacjach istnieją szczegółowe instrukcje dotyczące poruszania się po terenie firmy, wzory identyfikatorów, zasady wizytacji etc. Audytorzy winni podlegać takiej samej rejestracji i ewidencji jak każda inna osoba. Niestety, wielu audytorów uważa, że powinni korzystać z zasad ruchu osobowego przewidzianego dla służb czy inspekcji działających w trybie interwencyjnym lub że przysługują uprawnienia np. inspektora UDT. Z podejściem takim się nie zgadzam, chociażby dlatego, że jest to również obszar badania, bo każdy praktycznie obszar bezpieczeństwa (pożarowe, fizyczne, informacji etc.) wymaga zasad dostępu.

Instrukcja ruchu materiałowego – w zakresie rejestracji np. sprzętu wnoszonego i kontroli sprzętu przy wyjściu. Audytorzy z reguły posiadają sporo „zabawek” – od własnych laptopów, przez dalmierze, lornetki, aparaty fotograficzne etc. W tym przypadku uważam jak w ruchu osobowym – zasady są te same.

Zasady rejestracji obrazu – w wielu firmach wynika to z zasad ochrony tajemnicy przedsiębiorstwa. A większość dowodów, ze względu na czytelność, szybkość ich opracowania realizowanych jest z wykorzystaniem rejestracji obrazu. Do tego celu bardzo często jest wymagane – zgodnie z zasadami wewnętrznymi, upoważnienie wydawane przez zarządzającego na najwyższym szczeblu.

Obszarów jest nieco więcej, w zależności od organizacji, zakresu działania, wymagań prawnych. Pamiętać należy, że aby dokumentacja z audytu była właściwa i można było z niej skorzystać, powinna być wytworzona na podstawie działań w pełni zgodnych z prawem jak i zasadami organizacyjnymi. Jest to szczególnie ważne, gdy w trakcie audytu ujawnione zostaną niezgodności będące wprost zaniechaniem działania lub działaniem niezgodnym z normami prawnymi. A jako takie skutkować mogą odpowiedzialnością dyscyplinarną lub nawet karną (w tym wykroczenia). Do takich działań niezbędna jest dokumentacja zebrana w sposób zgodny z prawem, inaczej organ orzekający może nie dopuścić dowodu z audytu do sprawy.

KTO POWINIEN UPOWAŻNIĆ?

To kolejne pytanie w rozważaniach, jednak już po dość dużym wstępie – ta część artykułu będzie tylko uzupełnieniem. Otóż upoważnić powinien właściwy dział, osoba, stanowisko. Zgodnie z przytoczonymi powyżej przykładami, w tych regulacjach znajduje się też tryb nadawania i cofania upoważnień. Należy zastosować dokładnie ten sam schemat – upoważnić powinien ten, który jest właściwym do wydania upoważnienia.
Może się pojawić jednak pewien problem, w organizacjach, w których do upoważniania do konkretnych dostępów są wprost szefowie konkretnych działów. A audyt – jak napisałem na wstępie, z reguły wkracza w wiele innych działań, obszarów i zakresów kompetencyjnych komórek teoretycznie nie związanych.

Metodą na to jest „podróż po drzewku”. Czyli analiza schematu organizacyjnego, na którym zaznaczymy sobie na czerwono zakresy audytu (komórki organizacyjne w których realizowane są działania podstawowe), na zielono te, które badane będą dodatkowo, jako elementy systemu. I idąc w górę, na wyższą „gałąź” struktury, znajdziemy taką, która dla danego upoważnienia (jako czynności) ma pełny zakres uprawnienia do nadania. Oczywiście od tej zasady czasem są odstępstwa, niemniej prościej jednak, jak zespół audytu porusza się z dwoma, trzema upoważnieniami, a nie z plikiem na każdy zakres.

PODSUMOWANIE

Jak widać, sama czynność techniczna, jaką jest wydanie upoważnienia nie jest tak prosta jakby się wydawało. Jednak właściwy sposób jej przygotowania, a następnie realizacja jest bardzo istotna. Pamiętać również trzeba, że upoważnienie nie jest tym samym co umowa o zachowaniu poufności, a umowa nie jest tym samym co upoważnienia. Każdy z tych dokumentów ma swoją rolę i cel w organizacji.

---

Grzegorz Krzemiński | Audytbezpieczenstwa.pro

Czytany 1860 razy
Oceń ten artykuł
(1 głos)
Grzegorz Krzemiński

Audytor wiodący systemów zarządzania bezpieczeństwem

specjalista

Wszelkie prawa zastrzeżone! Kopiowanie, powielanie i wykorzystywanie części lub całości artykułu bez zgody Redakcji BH zabronione.

Strona: www.ibii.pl

Artykuły powiązane

Zaloguj się, by skomentować

Obserwuj nas

Wydarzenia

Ankiety BH