Bezpečnostní audit je vhodné provádět vždy, pokud je nutné nebo vhodné posoudit stav bezpečnostního systému a bezpečnostních procesů. Provádí se v pravidelných intervalech (v případě některých systémů daných zákonem), ale i nepravidelně, pokud se změní vnější nebo vnitřní prostředí a také vždy před změnou některých postupů, procesů nebo struktur systémů.
Bezpečnostní audit je zároveň jednou z forem měření kvality bezpečnostního systému. Jeho princip je založen na ověření podstatných vlastností systému nezávislým subjektem.
Bezpečnostní audit může být prováděn zaměstnanci dodavatele služeb – tedy externí firmou i vlastními zaměstnanci. V případě provedení externího bezpečnostního auditu je hlavní odlišností především míra objektivity, nezávislosti a možnosti srovnání s jinými provozovanými bezpečnostními systémy. Tato odlišnost s sebou přináší výhodu nezávislých odborných doporučení a závěrů, vedoucích k efektivnímu snižování možných rizik.
V případě provedení auditu vlastními zaměstnanci je vhodné, aby byl prováděn lidmi z jiného spektra činnosti, nebo jiného oddělení či skupiny. Sami sebe nemůžeme nikdy kvalitně zhodnotit.
Co je obvykle považováno za hlavní účel a cíle bezpečnostního auditu?
Cílem bezpečnostního auditu je posouzení skutečné úrovně nastavení bezpečnosti a bezpečnostních procesů a získání podkladů pro údržbu, rozvoj a případný upgrade bezpečnostních systémů. V rámci auditu posuzujeme také relevanci a efektivitu (nákladovost) stávajícího zabezpečení a identifikujeme slabiny stávajícího systému včetně návrhů na jejich odstranění. Kontrolujeme také samotnou funkčnost bezpečnostního systému.
Účelem auditu je:
- identifikovat chráněný majetek a zdroje
- identifikovat hrozby
- stanovit pravděpodobnost a dopad hrozby
- prozkoumat existující ochranná opatření a zhodnotit zranitelnost
- zkontrolovat rovnováhu mezi úrovní rizika a existující ochranou
- doporučit rozumná a nákladově efektivní protiopatření, která potlačí rizika nebo zredukují identifikovaná rizika na přijatelnou úroveň
- zajistit realizaci přijatých doporučení
Výsledkem bezpečnostního auditu jsou příslušná doporučení k redukci rizik.
Důvody pro provedení bezpečnostního auditu mohou být různé
Jakkoli mohou mít důvody pro provedení bezpečnostního auditu různou povahu, tak existuje i řada těch nejčastějších. Primárně jde o potřebu ověření skutečného stavu úrovně nastavení bezpečnostních systémů a bezpečnostních procesů. Dále pak vyloučení nebo snížení ztrát (personálních, hospodářských, finančních, informačních) s ohledem na identifikaci rizik a hrozeb a nastavení bezpečnosti a bezpečnostních procesů v poměru úrovně rizika a zdrojovými možnostmi.
Díky auditu je možné předejít budoucím škodám a ekonomickým ztrátám, protože umožňuje včasné předvídání rizik a hrozeb. Jeho správné provedení vede také k vytvoření podmínek pro zajištění řízeného podnikání i v extrémně nepříznivých podmínkách, například v období pandemií či přírodních katastrof. A to včetně snížení jejich dopadů a zvýšení schopnosti rychlého návratu ke standardnímu provozu.
Další podstatné přínosy získáme v legislativní a certifikační oblasti. Bezpečnostní audit přináší možnost sladění stávající národní a EU legislativy s bezpečnostními normami a předpisy, čímž zvyšuje konkurenceschopnost vlastního podnikání. Získáme také systémový (komplexní) pohled na bezpečnost, včetně vazeb na optimalizaci nákladů při respektováním požadavku norem systému jakosti ISO 9001, 22301, 27001, nebo 28000.
Využití poznatků týmu auditorů – specialistů nejrůznějších bezpečnostních profesí – dostává klient ucelenou objektivní analýzu stavu bezpečnostního systému, včetně adekvátních návrhů pro jeho zkvalitnění.
Ačkoli optimálním řešením je audit celého bezpečnostního systému je možné realizovat i audity podle konkrétních potřeb a požadavků, zaměřené na jeho části a subsystémy, jako například:
- technické zabezpečení
- ochrana utajovaných skutečností
- informační bezpečnost
- ochrana osobních údajů – GDPR
- ostraha majetku a osob
- režimová ochrana
- integrovaný systém zabezpečení a ochrany
Bezpečnostní audit má celou řadu dalších využití. Mezi nejčastější patří:
- vstupní audit v rámci analýzy před návrhem bezpečnostního systému
- audit subsystému ochrany jako součást rizikové analýzy
- audit bezpečnostního systému jako nástroj ověření funkčnosti bezpečnostních opatření
- periodický audit jako nástroj zvyšování kvality bezpečnostních opatření
- audit jako nástroj kontroly kvality bezpečnostních služeb zajišťovaných dodavateli
- audit jako forma převzetí technického zabezpečení (instalace bezpečnostních systémů PZTS, EPS, VSS apod.)