Audytuj, nie poluj

Audyt bezpieczeństwa dość często skręca w dość niebezpiecznym kierunku. Jego działania zaczynają wyglądać bardziej jak polowanie, niż usługa doradcza na poziomie zarządczym. Wielu audytorów za cel stawia sobie wykrycie nieprawidłowości, nadużyć czy innych negatywnych zdarzeń.

Wiele badań również wskazuje na niską wykrywalność np. nadużyć (np. badania Ernst & Young) przez działania w ramach audytu, co jest potężnym nieporozumieniem.

Jeśli taki jest cel audytu – to co w takim razie z celem funkcjonowania działów ochrony czy bezpieczeństwa?

WSZYSTKIE SIŁY DO INTERWENCJI

Tak mniej więcej wygląda “zapędzenie” audytu do zadań wykrywania w obszarze nadużyć, kradzieży, czy innych działań. Obok oczywiście działów bezpieczeństwa. Które tak naprawdę powinny wykonać analizy ryzyka, oszacować potencjalne skutki oraz zaplanować działania ochronne, redukujące ryzyko. A w ramach redukcji – zapobiegać (prewencja), wykrywać i minimalizować skutki. Po to zresztą mają rejestry incydentów, zdarzeń. Po to zatrudnia się agencje ochrony, żeby wykrywały i dokonywały ujęcia – zresztą mają takie uprawnienia z Ustawy o ochronie osób i mienia.

CZYM W TAKIM RAZIE JEST AUDYT?

Odpowiedź w szczegółach jest różna w zależności od tego o jakim audycie mówimy. Jednak celem głównym jest ocena, czy dany system jest:

- Sprawny
- Skuteczny

Te dwa elementy wymuszają ocenę w wielu aspektach.

Pierwsze – w podejściu systemowym, czy wszystkie zaplanowane działania zostały wdrożone. Jako przykład przyjmijmy cel: potwierdzenie, że dział zarządzania ryzykiem, ochrony fizycznej czy np. komórka zwalczania nadużyć swój system po prostu wdrożyły.

Bardzo często okazuje się, że systemy zarządzania bezpieczeństwem – w tym podsystemy zwalczania nadużyć, ochrony fizycznej czy przeciwpożarowej „istnieją”. Na papierze. A w organizacji mówi sie o nich YETI – wszyscy wiedzą, nikt nie widział.

I tu już możemy pokusić się o zrozumienie istoty audytu:

w zwalczaniu nadużyć – jak ma działać system wykrywania oparty np. o czerwone flagi, jeśli one są tylko na papierze, a nikt nie pokusił się o ich identyfikacje?
w ochronie fizycznej – jak ma działać system zapobiegający wynoszeniu mienia przedsiębiorcy, jak nie działa kontrola na wyjściu, bo “zapomniano” zamontować braki, a pracowników ochrony nie wyposażono oraz nie wyszkolono do tych działań?
w ochronie ppoż – jak ma działać system ochrony ppoż, jeśli gaśnice są oznaczone na planie, ale nie ma ich na miejscu? A pracownicy nawet nie wiedzą jak ich użyć?
Żaden z tych systemów nie będzie działał bez dobrego wdrożenia we wszystkich aspektach.

Drugie – również w podejściu systemowym, czy te działania przynoszą założone efekty. Ciekawe jest to, że wiele zabezpieczeń, jak nie większość NIE MA OKREŚLONYCH CELÓW.

  • w systemie zwalczania nadużyć wprowadzamy kontrasygnatę. Tylko po co? Jeśli nie wiemy dlaczego takie zabezpieczenie funkcjonuje, to audytor nie ma jak sprawdzić skuteczności. Oczywiście zamiast wymagania może podstawić dobrą praktykę, ale to za mało.
  • w systemie ochrony fizycznej wprowadzamy kontrolę na wyjściu (np. z losomatu). Tylko znowu, nie wiemy dlaczego? Oczywiście możemy zastanowić sie, że chodzi o wynoszenie mienia. Ale czy tylko? A może również kluczy do pomieszczeń, w celu przygotowania włamania, czy kluczyków do pojazdu, w celu przygotowania kradzieży?

Dwa przykłady pokazują już mam nadzieję istotę audytu.

W przykładzie 1 – wykrycie nieprawidłowości przy prawidłowej kontrasygnacie jest niebywale trudne. Ale można to zrobić, tylko czy audytor ma przeglądać wszystkie dokumenty podpisywane w ten sposób? NIE – jego działanie polega na sprawdzeniu (A) – wdrożenia i stosowania kontrasygnaty, (B) – skuteczności kontrasygnaty do celu minimalizacji ryzyka, jakie zostało określone czy to w planie postępowania z ryzykiem, czy systemie antyfraudowym (zależy od organizacji).

Jak przy takim podejściu rozliczać audyt za brak wyników w wykryciu nadużyć? Skoro celem jest wykrycie mechanizmu umożliwiającego nadużycie?

W przykładzie 2 – wykrycie nieprawidłowości polegającej na wynoszeniu materiałów mogących posłużyć do kradzieży jest również bardzo trudne. Pozostawienie kluczy i kluczyków bez nadzoru powoduje, że często trudno jest wyjść na sprawcę, bo brakuje nam “rozliczalności”. Ale czy audytor ma sprawdzać, czy prawidłowo klucze i kluczyki są wydawane, albo sprawdzać osoby wychodzące z zakładu? NIE – jego działanie polega na sprawdzeniu (A) – wdrożenia i stosowania kontroli i systemu nadzoru nad kluczami, (B) – skuteczności tych dwóch systemów z koniecznością zachowania rozliczalności.

Jak przy takim podejściu rozliczać audyt za brak wyników wykryciu kradzieży? Skoro celem jest wykrycie mechanizmu umożliwiającego zdarzenie i jego zaciemnienie, uniemożliwiające wykrycie mechanizmu?

EFEKTOWNOŚĆ, NIE EFEKTYWNOŚĆ

Zastanów się szanowny Czytelniku, o której służbie masz lepsze zdanie? O tej, która zatrzymuje bandytę, w świetle kamer, jeszcze najlepiej z dramatycznym podkładem dźwiękowym? Czy tej która w zaciszu gabinetu pracuje, wyszukują powiązania, mechanizmy i docelowo przekazują te informacje do “realizacji”? Większość osób lepiej spogląda na tych, którzy dokonują zatrzymań.

Podobnie jest z audytem i działaniami ochronnymi. Ochronne, dokonujące konkretnego wykrycia, wymiernego, policzalnego są postrzegane jako “bardziej skuteczne”. Bo zrobiły coś bardzo policzalnego. Audyt – niestety. Nie wykrywa (choć czasem przypadkiem uda się), natomiast “łata luki”. Skutki tych luk mogą być liczone w dziesiątki, setki tysięcy, czy nawet w miliony, przy pojedynczych kradzieżach czy nadużyciach do kilkuset tysięcy. Tylko o tym ciężko zleceniodawcę czy pracodawcę przekonać.

Dlatego niestety audyt bezpieczeństwa zaczyna niebezpiecznie skręcać czy w kierunku systemów zarządzania ryzykiem (od identyfikacji, po planowanie, aż po działania redukujące), czy w kierunku po prostu samych wykryć. Czyli szukania konkretnych zdarzeń, a nie mechanizmów umożliwiających to działanie. Cóż liczy się efekt. Ale jako źródło słowa EFEKTOWNOŚĆ, a nie EFEKTYWNOŚĆ.

AUDYTUJ, NIE POLUJ

Wrócę do tytułu. Warto mimo wszystko utrzymać cel i sens audytu, bo wyniki mimo, że nie są przypisane do konkretnych zdarzeń, są widoczne. Często po roku, czasem dłużej. Wymaga to jednak ogromnej cierpliwości, przygotowania zawodowego i doświadczenia. A w tym oferta szkoleniowa nie bardzo pomaga. Szkolenia na audytorów wiodących czy wewnętrznych są już dostępne od kilkuset złotych, a działania w ramach audytu opisane powyżej, powierzane osobie z doświadczeniem poniżej 3 lat i stosownym certyfikatem. To też nie pomaga, bo takiej osobie potrzebny jest sukces, najczęściej spektakularny. Czyli… wykrycie konkretnego nadużycia, incydentu, zdarzenia, kradzieży.

Czytany 1486 razy
Oceń ten artykuł
(5 głosów)
Dział: Wiedza
Grzegorz Krzemiński

Audytor wiodący systemów zarządzania bezpieczeństwem

specjalista

Wszelkie prawa zastrzeżone! Kopiowanie, powielanie i wykorzystywanie części lub całości artykułu bez zgody Redakcji BH zabronione.

Strona: www.ibii.pl
Zaloguj się, by skomentować

Obserwuj nas

Wydarzenia

Ankiety BH