Poradnik audytora… „mit przyjaźni”

0
36

Jako, że pierwszy felieton odnoszący się do predyspozycji i doświadczeń, które powinny charakteryzować audytora bezpieczeństwa spotkał się z ogromnym zainteresowaniem, stwierdziłem, że warto… Warto nieco rozprawić się z „mitami” dotyczącymi pracy, obowiązków, odpowiedzialności. Ale też z mylnymi pojęciami na temat tego, jak się miło pracuje.

Poniekąd temat ten jest nieco inspirowany pytaniem Tomka Grabskiego na jednej z grup dyskusyjnych, o predyspozycje audytora.

Dziś kolejna predyspozycja – odporność psychiczna. Nie chcę nikogo urazić dzisiejszym artykułem. Nie chce wchodzić również w domenę psychologów, którzy nas badają (a przynajmniej większość, zależnie od stanowiska i uprawnień – licencja, broń, uprawnienia służby etc). Będzie to raczej kilka słów na temat – dlaczego ta odporność jest tak ważna. I standardowo, jako, że felieton – to oparty na praktycznych doświadczeniach.

MIT:

wszyscy rozumieją, że audyt jest w celu doskonalenia systemu i audytorzy mają za zadanie pomóc i doradzić

 

Wypada doprecyzować. Wszyscy mówią, że rozumieją. Jest to ogromna różnica, którą widać już czasem na pierwszym spotkaniu „w terenie”. Oczywiśćie nie zawsze, ale zdaża się (zwłaszcza jeśli audt zleca „góra”) – wrogość, podważanie sensu działania, czy wprost stwierdzenia, że coś jest niepotrzebne. Aż czasem człowiek sobie myśli, skoro specjaliści tak doskonale wiedzą, co jest potrzebne, a co nie, to co ja tu robię?

Otóż jest to naturalny mechanizm obronny. Wiele audytów rzeczywiście przeradza się w kontrole, co jest dramatycznym wręcz nieporozumieniem (na szczęście nie u nas). Audyt ma za zadanie ocenę systemu, nie człowieka. Nie szukamy błędów człowieka, tylko szukamy zgodności z systemem opartym o wymagania. Zgodności działań, rozwiązań etc. Ale cóż, nie każdy rozumie, nie tylko po stronie organizacji audytowanej, czym tak naprawdę jest audyt.

Do błędów też się odnosimy. Tylko raczej szukamy odpowiedzi na pytania:

  • Dlaczego błąd zaistniał?
  • Czy został wykryty?
  • Jeśli nie to dlaczego?
  • Jaka usterka jest w systemie, że pozwala pracować błędnie?
  • Które systemy kontrolne nie są ustawione na ryzyka błędu w zabezpieczeniu (szacowanie ryzyk z zabezpieczeń – temat bardzo obszerny, na duży artykuł poradnikowy).

Wracając do deklaracji zrozumienia istotny audytu. Wiele osób, mimo, że deklaruje zrozumienie i kiwa głową na spotkaniu otwierającym, w dalszym działaniu odnosi się nieprzyjaźnie, a wręcz wrogo czy też traktuje audytorów z góry. Doskonale wiemy, że jest to mechanizm obronny, dlatego doświadczenie i ciągły trening audytorów pozwala nam na dalszą efektywną pracę.

Ale jest coś czego treningiem i szkoleniem nie da się niestety zastąpić. Odporność na wrogość. Na utrudnianie pracy.

Jeden z kandydatów na audytorów, który niestety, nie ukończył przygotowania, (wrócił do bycia specjalistą), zadał mi w pewnym momencie pytanie:

Szefie – jak to jest? Pan nam mówi, że mamy pomagać, wspierać, konsultować (w ograniczonym zakresie rzecz jasna) a oni (osoby wyznaczone do wywiadów i rozmów) jakby mogli to by nam …… O co w tym chodzi?

 

Jako że felieton jest krótką publikacją – tu chyba zakończę. Nie wiem jak to jest. Wiem, jaka jest nasza rola i co mamy zrobić. Mamy wykazać zgodności działań, pomagając zidentyfikować rozwiązania, a jak stwierdzimy niezgodności to o nich poinformować. Ale nie tylko tych, którzy nadzorują obszary w których wystąpiły niezgodności, ale również tych którzy odpowiadają za całość, czyli są na górze i zlecają audyt. Dzięki temu pracujemy na świadomości zarządów, która to świadomość jest kluczowym czynnikiem sukcesu, przy tworzeniu systemów bezpieczeństwa.

Jest jednak pewna dobra strona. Po naszych audytach do tej pory rozstała się z pracą tylko jedna osoba. Bo na spotkaniu zamykającym pokazujemy, gdzie jest błąd w systemie. I że trzeba o nim powiedzieć w zespole, poszukać rozwiązania uszczelniającego i wdrożyć je (działania korygujące).

Dlatego do predyspozycji dorzucamy – odporność na niezrozumienie.

Artykuł pojawił się również na stronie firmowej Instytutu Bezpieczeństwa i Informacji.