W branży ochrony osób i mienia firmy konkurują między sobą, oferując klientom dodatkowe usługi. Jedną z nich jest audyt bezpieczeństwa. Ale czy jest to audyt poprawnie rozumiany? Czy może „audyt” jako słowo brzmiące poważnie jest „dźwignią handlu” i jedynym zadaniem, jakie spełnia w całej ofercie tzw. „audytu bezpieczeństwa”, jest zwiększenie sprzedaży?
Definicje. Jest ich naprawdę wiele- od Wikipedii, przez przepisy prawa, w tym Ustawę o finansach publicznych, po normy ISO, w tym jedną z najważniejszych, do której odwołuje się wiele innych norm i standardów – ISO 19011. Wszystkie mają wspólną cechę, czyli ocenę stanu faktycznego (działań, procesów, przedsięwzięć, dokumentów) do wymagań zawartych w kryteriach, czyli zbiorach wymagań. Niektóre z definicji dodają jeszcze ocenę stopnia spełnienia wymagań.
Audyt bezpieczeństwa – kryterium kluczowe
Kluczowym kryterium, a więc zbiorem wymagań dla audytu bezpieczeństwa jest wynik analizy zagrożeń lub szerszego działania, tzn. szacowania i oceny ryzyka. Na tej podstawie można ocenić, czy zabezpieczenia (organizacyjne, techniczne) zostały prawidłowo przygotowane i oddziałują na zagrożenia lub ryzyka w sposób zaplanowany, sprowadzając te ostatnie do poziomu akceptowalnego.
Analiza zagrożeń, szacowanie i ocena ryzyka – wprowadzenie
Szacowanie i ocena ryzyka (pełne) obejmuje:
- Identyfikację i wartościowanie zasobów; w innym wypadku nie będziemy wiedzieć, co należy chronić.
- Identyfikację zagrożeń, z siłą ich oddziaływania i prawdopodobieństwem zaistnienia.
- Szacowanie i ocenę skutku, jaki nastąpi po zmaterializowaniu się zagrożenia (incydencie).
- Prawdopodobieństwo zaistnienia skutku.
Przykład:
Zagrożenie zniszczeniem mienia. Załóżmy prawdopodobieństwo wysokie, siła na tyle znacząca, że może zniszczyć urządzenie. Z punktu widzenia bezpieczeństwa fizycznego jest to zdarzenie niedopuszczalne, ale czy każde urządzenie będzie dla chronionego podmiotu (firmy, organizacji) tak samo groźne? Utrata klimatyzatora w biurze, a utrata instalacji chłodniczej w produkcji żywności mają zdecydowanie różne skutki. W ochronie fizycznej wykonujemy analizy zagrożeń z punktu widzenia bezpieczeństwa fizycznego, rzadziej procesowego.
Wróćmy do naszego rozważania o audycie i analizie zagrożeń. Jeśli nie mamy wykonanych działań, o których mowa powyżej (analizy i oceny) to nie możemy ocenić skuteczności systemu. To tak, jakby oceniać (audytować) poprawność złożenia mebla, nie posiadając instrukcji i wskazanych zastosowań łączników czy elementów. Owszem, przy dużym doświadczeniu można złożyć np. stół, ale znane są mi przypadki, gdy zostało po takim montażu kilka elementów, a za tydzień okazało się, że stół się rozpadł. A więc nie spełnił swojego celu, mimo że wyglądał na poprawnie zmontowany.
Analiza zagrożeń w audycie
Audytując bezpieczeństwo fizyczne, audytujemy też analizę zagrożeń. Nie wykonujemy, a audytujemy, oceniając co najmniej z punktu widzenia poprawności procesu gromadzenia i analizowania informacji, przygotowania zawodowego analityków i sposobu zatwierdzania jej wyników przez zlecającego.
Dlaczego nie wykonujemy analizy w audycie?
Po pierwsze- analiza to fundament.
Analiza jest fundamentem systemu zarządzania bezpieczeństwem. Stawia wymagania dla zabezpieczeń w tym na obniżenie podatności, zagrożeń (czy to siły, czy prawdopodobieństwa) lub też ryzyka (również prawdopodobieństwa wystąpienia skutku i jego dotkliwości). Oznacza to, że w dniu audytu bezpieczeństwa już powinna być wykonana. Stanowi fundament planów ochrony, ponieważ to ona wskazuje (a raczej powinna wskazywać) na zadania stawiane przed pracownikami ochrony, cele dla stosowanych zabezpieczeń technicznych, wymagania dla kontroli miejsc na obiekcie i wiele innych. Jeśli jej nie ma, to trudno mówić o systemie ochrony, bo nie wiemy, przed czym ów system ma chronić.
Po drugie- niezależność.
Z punktu widzenia poprawności i zasad audytowanie do własnej analizy zagrożeń wygląda tak, jakby audytor sam siebie audytował. Może warto iść dalej i w ramach audytu napisać też instrukcję ruchu osobowego i materiałowego, i do niej również audytować? To oczywiście sarkazm. Pojawia się tu problem – kiedy audytować? Jeśli opracowaliśmy coś w czasie audytu, skąd przekonanie, że to działa? Przecież nadal jest to pewna koncepcja (instrukcja) lub analiza (przy zagrożeniach), wyrażona na papierze, a od dokumentu do działania długa droga. W tym momencie pojawia się więc…
Po trzecie- audytujemy działający system.
Audytując opracowanie dostarczone w trakcie audytu możemy ocenić jedynie to, jaką fantazję miał autor. I czy „wygląda to dobrze”. A więc zgodnie z dokumentami firmowymi, przepisami prawa, czy umowami. Nadal nie jest to działający system, a jedynie pomysł na niego.
Podsumowanie
Zaskakujące jest, jak branża ochrony jest „samodzielna” w wymyślaniu zastosowań dla słów. Zaskakujące i odważne, ponieważ klienci są przecież audytowani przez różne organizacje: na zgodność z normami ISO, gdzie również jest sporo o ryzyku; na zgodność z wymaganiami prawa, gdzie też są przecież analizy, np. w BHP czy ochronie PPOŻ. Nikomu jednak w tych branżach nie wpadnie nawet do głowy nazywać organizacji bezpieczeństwa, rozpoczynającej się od analiz zagrożeń i szacowania ryzyka, audytem.
Może czas na profesjonalizację? I zapoznanie się z definicjami? I jeśli jedziemy do klienta z usługą analizy zagrożeń, to może warto tak to nazwać? Potem mamy jeszcze identyfikację zabezpieczeń, czy to organizacyjnych, czy technicznych i na tej podstawie planujemy system ochrony (co i gdzie uzupełnić, co dodać, co zorganizować). Dopiero kiedy system zacznie działać, możemy mówić o audycie. Warto w tym momencie pamiętać o tym, że ocenie poddajemy kwestie, tj.:
- czy wszystkie zabezpieczenia działają zgodnie z planem, tzn. czy patrole są wykonywane, monitoring realizowany, zdarzenia obsługiwane; czy systemy alarmowe i zabezpieczenia techniczne są tam, gdzie powinny być i czy są utrzymywane.
- jeśli wiemy, że to wszystko działa prawidłowo i zostało opisane, możemy ocenić, czy jest skuteczne. A więc, czy spełniło swoje cele, które w bezpieczeństwie fizycznym są wskazywane jako wykrycie i ujawnienie zagrożenia, postawienie oporu oraz reakcja.
