Audit wewnętrzny jako najlepsze narzędzie ochrony informacji w firmie.

artykuł napisany z okazji Europejskiego Dnia Ochrony Danych Osobowych

artykuł napisany z okazji Europejskiego Dnia Ochrony Danych Osobowych

Prowadzenie działalności na globalnym rynku, w świecie pędzących zmian technologicznych i prawnych, a także rosnących oczekiwań klientów wymaga od osób zarządzających organizacją dysponowania wszechstronną wiedzą nt. różnych obszarów jej funkcjonowania.

Spełnienie wymagań wywodzących się przepisów prawa, oczekiwań klienta czy też własnych, ma znaczenie dla organizacji i jej funkcjonowania na rynku – przez co jest to pierwszym filarem rozwoju. Obok wymagań pojawiają się ryzyka, które pochodzą z różnych źródeł. Umiejętności przewidywania zagrożeń i ich eliminowania to właśnie drugi filar dla rozwoju każdej organizacji. Posiadanie tych informacji jest niezbędne do podejmowania działań i wyznaczania celów, które będą gwarantowały jej dalszy rozwój.

Jak zatem zweryfikować czy wszystkie te obszary w organizacji dobrze funkcjonują? Skąd czerpać odpowiedź na pytanie czy działamy zgodnie z wymaganiami i czy potrafimy z wyprzedzeniem przewidzieć nieprzewidziane?

Z pomocą może przyjść narzędzie jakim jest audit wewnętrzny. Jest on znany jako narzędzie związane z systemami zarządzania, które w organizacjach wdrażane są na podstawie międzynarodowych standardów ISO. Jednak coraz częściej spotykamy audity wewnętrzne jako narzędzia procesu samokontroli, wskazywane przez ustawodawcę w różnego rodzaju aktach prawnych, takich jak RODO[1], KRI, nazywając je inspekcjami, przeglądami itp. Audity wewnętrzne prowadzi się różnych obszarach funkcjonowania organizacji, w tym również w zakresie związanym z bezpieczeństwem danych i informacji. Ten popularny w ostatnich czasach obszar działania organizacji jest szczególnie ważny w obszarze prowadzenia auditów.

Niezależnie od powodu z jakiego w organizacji wprowadza i stosuje się audit wewnętrzny, jego znaczenie i rola dla organizacji jest niezwykle istotna.

Po pierwsze, audit wewnętrzny potrzebny jest, aby odpowiedzieć na pytania pojawiające się po stronie kadry kierowniczej i osób zarządzających poszczególnymi procesami lub obszarami w organizacji: „W jakim zakresie moja organizacja działa zgodnie z przepisami prawa? Jak radzimy sobie z ryzykami? Co możemy lub musimy zmienić? Co doskonalić? W jakim zakresie spełniamy oczekiwania naszych klientów?”

Po drugie, aby na bieżąco pozyskiwać informacje nt. funkcjonowania organizacji.

Po trzecie, aby pozyskać wiedzę o obszarach wymagających doskonalenia szybciej niż zostaną one wykazane podczas kontroli przeprowadzanych przez instytucje państwowe tj.: UODO, PIP, NIK lub przez klienta podczas auditu drugiej strony.

Informacji na temat wyżej wymienionych kwestii dostarcza właśnie dobrze zaplanowany i zorganizowany proces auditu wewnętrznego. Kluczowym czynnikiem do osiągnięcia sukcesu jest pozyskiwanie odpowiednich osób do pełnienia funkcji auditora wewnętrznego, które muszą posiadać szereg bardzo różnorodnych kompetencji. Poczynając od kompetencji społecznych (miękkich), takich jak komunikacja, umiejętność współpracy z ludźmi, kompetencje analityczne, umiejętność interpretacji przepisów prawa, (w tym z obszaru ochrony danych osobowych, nowych technologii, metodologii zarządzania ryzykiem i procesami przetwarzania danych), umiejętność wyciągania wniosków przez zdolność oceny organizacji w kontekście realizacji jej celów strategicznych i wiele innych.

Doświadczony auditor wewnętrzny dostarcza kadrze zarządzającej istotnych informacji na temat funkcjonowania organizacji, potrafi zatem zarówno wskazać obszary wymagające doskonalenia, jak i te stanowiące ryzyko dla organizacji. Szczególne znaczenie ma to w kontekście systemów zarządzania bezpieczeństwem informacji, które budowane są przede wszystkim poprzez identyfikację ryzyk – dopiero na tej podstawie wdrażane są działania i rozwiązania mające na celu eliminowanie lub ograniczenie zagrożeń.

Mając na uwadze powyższe argumenty, rolę auditora wewnętrznego w systemach zarządzania bezpieczeństwa informacji należy uznać za niezwykle ważną, uznawaną a także pożądaną w każdej organizacji działającej wg. wytycznych tych systemów.


 [1]ROZPORZĄDZENIU PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)


Sylwia Bojanowska Dekert - Absolwentka Uniwersytetu Adama Mickiewicza w Poznaniu na kierunku Administracja oraz studiów podyplomowych na Uniwersytecie Ekonomiczny w Poznaniu - Zarządzanie Przedsiębiorstwami i Zarządzanie Zasobami Ludzkimi a także Psychologii w Zarządzaniu na Uniwersytecie Adama Mickiewicza w Poznaniu. Wykładowca Wyższej Szkoły Bankowej w Toruniu, Bydgoszczy i Poznaniu. Certyfikowany trener TUV SUD Akademia.

Obszarem specjalizacji jest doradztwo w zakresie implementacji systemów zarządzania takich jak:

  • zarządzanie jakością ISO 9001,
  • zarządzania środowiskiem 14001,
  • bezpieczeństwem i higieną pracy 45001,

a przede wszystkim systemów bezpieczeństwa danych i informacji za zgodność z RODO oraz ISO/IEC 27001 – międzynarodowego systemu zarządzania bezpieczeństwem informacji. Posiada doświadczenie we wdrażaniu ww. systemów dla instytucji z różnych branż, przeprowadziła szereg szkoleń z ww. obszaru. Posiada uprawnienia nadane przez jednostkę certyfikującą do pełnienia funkcji Pełnomocnika ds. Zintegrowanych Systemów Zarządzania i Auditora Wewnętrznego.

Prowadzi audity zgodności z RODO z imienia jednostki certyfikującej. Auditor wiodący ISO 27001:2017.

 

Jak możemy pomóc?

Wybierz lokalizację