Niespełna 2 tygodnie temu odbyło się szkolenie z Audytu Bezpieczeństwa. Jest to jedno ze szkoleń w ścieżkach kształcenia ECDPO (Certyfikowany Inspektor Danych Osobowych), ECSSM (Certyfikowany Manager Bezpieczeństwa i Ochrony), ECSSA (Certyfikowany Audytor Bezpieczeństwa i Ochrony). Tak się szczęśliwie złożyło, że uczestnicy szkolenia reprezentowali zarówno bezpieczeństwo fizyczne, w tym bezpieczeństwo pożarowe jak i fizyczne jak i ochronę danych osobowych.

Cel musi być S.M.A.R.T.

Na pierwszy ogień wzięliśmy istotę audytu bezpieczeństwa i ogólnie sens realizacji tego typu działań. Cel jak wiadomo musi być S.M.A.R.T., więc chwilę zeszło nam z określeniem mierzalności, specyfiki celu czy terminowości.

Program audytu, czy plan audytu?

Następnie nieco planowania audytów, szczególnie w organizacjach, w których funkcjonują systemy zarządzania bezpieczeństwem i wcale nie potrzebujemy audytu na “tu i teraz”. Program audytów, zrobiony w formie tabelarycznej posłużył jako baza do dalszego szkolenia ukazując jednocześnie, że “akcyjność” w sprawdzaniu skuteczności systemów nie zawsze jest dobra. Jeden wybrany temat (zakres) był już potem ćwiczony do samego końca.

Kryteria i wymagania, czyli “compliance” i nie tylko.

A więc kryteria, z których wypisane były wymagania. Wbrew pozorom nie jest to proste zadanie, bo zarówno legislator jak i wydawcy norm i standardów często zapominają, że warto trzymać się zasad techniki prawodawczej i stosować prostą ale skuteczną metodę. “Jedno wymaganie, jeden punkt”. Niestety zarówno akty prawne w randze ustaw jak i rozporządzeń oraz normy i standardy, zawierają kilka wymagań zawartych w jednym zdaniu. Powoduje to duże utrudnienie zarówno w doborze metod audytu, jak i precyzyjnym określeniu, które konkretnie wymaganie nie zostało spełnione. Poradziliśmy sobie z tym stosują odpowiednie znaczniki. To jednak nie koniec z rozwiązywaniem problemów w identyfikacji kryteriów (zbiorów wymagań). Pozostała jeszcze kwestia rangi i oznaczenia. Rozporządzeniem jest RODO czy też drugie, obowiązujące od wielu lat rozporządzenie w dziedzinie bezpieczeństwa żywności. Te dwa, służące jako przykład są aktami prawnymi zupełnie innej rangi niż rozporządzenia krajowe, wydane jako akty wykonawcze do ustaw. Po rozwiązaniu tego problemu, przeszliśmy do kwestii audytowania w fazie II – działań na miejscu.

Metody audytu.

Metody audytu poszły w miarę prosto, przy czym opisy testów ochrony nieco zmierzały w kierunku dużych ćwiczeń w obszarze działań kryzysowych. Dotyczyły między innymi próbnych ewakuacji, czy testowania naruszeń ochrony danych osobowych. Prowadzący w skrócie wyjaśnił zasady planowania większych przedsięwzięć, posługując się realnymi przykładami ćwiczeń zrealizowanych przez ESSA.

Kompetencje audytorów.

Wymagania wobec audytorów zostały celowo przesunięte na koniec szkolenia, tak by uświadomić sobie złożoność samego audytu. Zaprojektowanych zostało łącznie 9 kompetencji kluczowych w trzech grupach kompetencyjnych. W tym, dla każdej jednostkowej kompetencji określone zostały po 3 poziomy oraz sposoby testowania i sprawdzania wiedzy, umiejętności i doświadczenia. Jako odpoczynek od tematyki audytu Trener zaprezentował wykorzystanie średniej ważonej w ocenie kompetencji audytorów oraz wskazał zasady planowania rozwoju w ścieżkach kompetencyjnych. Wykres z naniesionymi kompetencjami posłużył również do wskazania sposobu identyfikacji rezerwy kadrowej w organizacjach.

Raport z audytu, niezgodności i potencjał.

Na zakończenie, drugiego dnia szkolenia uczestnicy “rozliczyli się” z zadania domowego. Każdy opisał własne niezgodności i potencjał doskonalenia, jakie zauważył wracając po pierwszym dniu szkolenia.

Podsumowaniem był opis sposobów budowania oceny skuteczności systemu zarządzania bezpieczeństwem opartego o indeks bezpieczeństwa i standard bezpieczeństwa.

Co po szkoleniu?

Szkolenie kończy się uzyskaniem odpowiedniego certyfikatu oraz rozmową opiniującą. Na prośbę o podsumowanie szkolenia jeden z uczestników stwierdził, iż czuje niedosyt. Niedosyt w zarządzaniu bezpieczeństwem, czyli systemowym ułożeniu. Jest to stosunkowo powszechne uczucie towarzyszące grupie po szkoleniu z audytu bezpieczeństwa, ponieważ szkolenie w ESSA obejmuje holistyczne podejście i krzyżowanie się obszarów. Np. dla ochrony przeciwpożarowej ważne są dane osobowe o osobach wykonujących prace niebezpieczne pożarowo. Podobnie konserwacje i serwisy – to też dane osobowe. Z drugiej strony IOD powinien posiadać wiedzę o zabezpieczeniach przed zagrożeniami fizycznymi, w tym kradzieżą, zniszczeniem również w wyniku pożaru czy zdarzenia miejscowego.

Z pewnością spotkamy się ponownie z uczestnikami na kolejnym szkoleniu już 3 – 4 grudnia z Zarządzania Bezpieczeństwem. Z pozostałymi na szkoleniach zawartych w ścieżkach kształcenia indywidualnie dobranych. Wszyscy uczestnicy zapowiedzieli, że będą je kontynuować w swoich obszarach działania.

Kolejne szkolenie z AUDYTU BEZPIECZEŃSTWA odbędzie się 8-9 września 2022 r. Zgłoszenia/pytania należy kierować: szkolenia@essa.pro

Do zobaczenia!