27 listopada 2018 ESSA przeprowadziła szkolenie Audyt Bezpieczeństwa Fizycznego, dla Rzeczoznawców Polskiej Izby Ochrony. Szkolenie zostało uznane przez władze PIO za obowiązkowe do utrzymania tytułu Rzeczoznawcy PIO. Podstawą programową jest program szkolenia “Audyt Bezpieczeństwa” dostępnego w formie szkoleń otwartych (dostępnych dla każdej osoby) lub zamkniętych (na zlecenie firmy, z dostosowaniem programu).
Przebieg szkolenia
W ramach szkolenia zrealizowanych został szereg ćwiczeń, zgodnie z zasadą ESSA – szkolenia mają mieć maksimum praktyki – minimum teorii. W przypadku Rzeczoznawców PIO zbędne było wprowadzenie w tematykę przepisów o ochronie osób i mienia, dlatego od razu przeszliśmy do praktycznego przebiegu audytu. W naszych szkoleniach związanych z audytem główną podstawą metodyczną jest norma ISO 19011, która organizuje i porządkuje przebieg audytu systemów zarządzania. A za taki system uznajemy system zarządzania ochroną obiektu, obejmujący zarówno ochronę fizyczną jak i zabezpieczenie techniczne. Dlatego dalsza część szkolenia przebiegała zgodnie z opisem procesu zawartym w normie.
Inicjacja audytu
Najwięcej uwagi poświęciliśmy właściwemu inicjowaniu audytu. Narzędziem do naszego ćwiczenia było “Zlecenie audytu” używane w praktyce w wielu firmach. W ramach ćwiczenia próbowaliśmy określić zakres audytu wynikający z określonego chwilę wcześniej celu. Zadanie nie było proste ponieważ audyt bezpieczeństwa fizycznego wymaga również oceny obszarów BHP, szczególnie w zakresie bezpieczeństwa pracowników ochrony, zadań ochrony przeciwpożarowej, gdzie bardzo często zadania ochrony obejmują elementy ewakuacji czy kontroli sprzętu gaśniczego oraz RODO. Ten ostatni aspekt jest jednym z najważniejszych. Zarówno z punktu widzenia dostępu audytorów do danych osobowych jak i samego procesu ochrony osób i mienia, który w dużej części związany jest z przetwarzaniem danych osobowych. Wynikiem tego ćwiczenia było wskazanie zakresu audytu oraz precyzyjne opisanie wyłączeń.
Planowanie audytu
W ramach planowania audytu wykonanych zostało kilka ćwiczeń. Były to standardowe działania fazy I, sporo dyskusji wywołało jednak przygotowanie listy wymagań. Użyliśmy do tego narzędzi do identyfikacji wymagań z kryteriów (czyli zbiorów wymagań, takich jak polityki, instrukcje czy przepisy prawa). Listy były kontynuacją wcześniejszych ćwiczeń, a więc miały realizować cel audytu oraz obejmować wskazany w zleceniu zakres audytu.
Realizacja audytu
Po ćwiczeniach związanych z inicjacją i fazą I audytu, przeszliśmy do doboru metod audytu w zależności od celu. Ćwiczenie było stosunkowo łatwe, ale umożliwiało w ciekawy sposób wypracowanie wymagań do sprawdzenia w zależności od metody audytu. Np. kwestie oceny dokumentacji zostały powiązane z audytorem, którego kompetencje obejmowały prawo i umiejętność identyfikacji oraz czytania przepisów prawa jak i dokumentów na tej podstawie tworzonych, takich jak upoważnienia czy pełnomocnictwa.
Ocena i wnioski oraz raport
Najwięcej emocji wzbudziła interpretacja zebranych dowodów,i tak zwane wnioski. Szczególnie, w obszarze pozornie prostych wymagań zawartych w artykule 7 Ustawy o ochronie osób i mienia. Dla przypomnienia jest to kwestia uzgodnienia planu ochrony. W ramach ćwiczenia “Kryteria-Wymagania”, okazało się, iż w jednym ustępie przepisu znajduje się kilka wymagań. O ile sama identyfikacja i ocena spełnienia wymagań co do właściwości osoby uzgadniającej plan ochrony, właściwości jednostki Policji i ABW były dość proste, o tyle bardzo żywiołową dyskusję wywołał przypadek uzgodnienia przez osobę, która nie miała do tego stosownego upoważnienia. Wzięte były pod uwagę dwa warianty – osoba przedstawiona jako kierująca jednostką organizacyjną, nie miała właściwego umocowania oraz przypadek w którym upoważnienie dla osoby wyznaczonej posiadało wadę.
Grupa podzieliła się na dwie grupy – tych którzy uważali, że plan ochrony jest niewłaściwie uzgodniony i nie może być traktowany jako wiążący dokument, druga grupa uważała, że plan jest właściwie uzgodniony. W zależności od interpretacji skutki mogłyby nawet wyczerpać znamiona czynu określone w art. 48 Ustawy, a więc odpowiedzialność karną za niewłaściwą ochronę obiektu (brak dokumentu wiodącego).
Przykład ten pokazał jak skomplikowaną tematyką jest audyt bezpieczeństwa fizycznego obiektu i jak poważne skutki mogą mieć pozornie niewielkie uchybienia i niezgodności.
Indeks bezpieczeństwa
Na zakończenie szkolenia Trener zaprezentował Indeks Bezpieczeństwa, czyli ocenę stanu bezpieczeństwa opartą o ryzyko jako kryterium. Podstawą wyliczenia Indeksu jest system zarządzania bezpieczeństwem, w którym zabezpieczenia są sklasyfikowane w poziomy. Poziom ryzyka dla danego obszaru wyznacza poziom wymaganych zabezpieczeń. Przykładowo poziom ryzyka “3” wymaga systemu bezpieczeństwa złożonego z zabezpieczeń również na poziomie “3”. Zasady tworzenia systemów bezpieczeństwa uwzględniających myślenie i podejście oparte o ryzyko omawiane są szerzej w trakcie szkolenia “Zarządzanie bezpieczeństwem”.
Zapraszamy do kalendarza szkoleń, w którym znajdziecie Państwo aktualne terminy naszych szkoleń.