Audyt bezpieczeństwa- potrzeba czy zbyteczny wydatek?

Autor: mgr Michał Sokołowski

Właściciele i kadra zarządzająca w przedsiębiorstwach starają się należycie zabezpieczyć park maszynowy, magazyny, biura oraz dane poufne przed wszelkimi atakami zarówno zewnętrznymi jak i wewnętrznymi. Stosują w tym celu rozmaite procedury oraz środki ochrony technicznej.

Niezależnie od wielkości firmy takie zabezpieczenia mają ogromne znaczenie dla każdej organizacji. Muszą zabezpieczyć firmę przed wieloma zagrożeniami od pospolitych kradzieży po ataki nieuczciwej konkurencji oraz przed szpiegostwem gospodarczym. Skala i jakość zabezpieczeń stosowanych w firmach zależy oczywiście od możliwości finansowych, wielkości przedsiębiorstwa oraz od profilu produkcji czy oferty handlowej. Są przecież produkty i technologie bardziej lub mniej narażone na potencjalne działania przestępcze. Profil działalności o wysokim ryzyku jak np. produkcja nowoczesnych technologii czy asortymentu o wysokiej cenie jednostkowej to najbardziej narażone struktury.

Zagrożenia zewnętrzne i wewnętrzne oraz ich rodzaj.

Zagrożenia wewnętrzne „należy pamiętać o prewencji i uświadamianiu pracownikom nieuchronności kary”

Wewnątrz firmy często czujemy się bezpieczni ponieważ zakładamy, że tworzymy zgrany zespół i nikt nie będzie działał na szkodę swojego pracodawcy. Niestety w tym przypadku ogromne znaczenie ma tak zwany czynnik ludzki. Znane wszystkim przysłowie, że „okazja czyni złodzieja” jest idealnym odzwierciedleniem sytuacji. Wobec tego należy pamiętać o prewencji i uświadamianiu pracownikom nieuchronności kary. Nadużycia i przestępstwa wobec pracodawcy mogą być banalne lub bardzo poważne, narażające firmę na wysokie straty.

Kradzieże wyposażenia biurowego, które patrząc wybiórczo nie stanowią wielkiej straty to w przypadku powtarzalność czynu oraz większej ilość pracowników zamieszanych w proceder, mogą stworzyć pokaźną stratę nawet w przypadku kradzieży papieru do kserokopiarki.

Kradzieże wyrobów lub produktów handlowych firmy mogą zdarzać się sporadycznie lub stanowić ogromne przedsięwzięcie w zmowie pracowniczej i stanowić dodatkowy dochód osób uczestniczących w przestępstwie. W zależności od poziomu cenowego skradzionych produktów oraz skali czasowej przestępstwa, działania takie mogą narazić firmę nawet na dziesiątki lub setki tysięcy straty.

Kradzieże, nadużycia związane ze stanowiskiem oraz nadanymi przez pracodawcę uprawnieniami zarządzającymi procesami w organizacji, również stanowią ryzyko ogromnych strat dla firmy. Można tu wymieniać wiele przykładów. Dział zakupów może przecież zaopatrywać zakład pracy oraz zaspokajać również swoje prywatne potrzeby kupując „na firmę” rzeczy potrzebne do własnego prywatnego domu. Kadra zarządzająca posiadająca dostęp do danych poufnych firmy może pokusić się o kradzież technologii, strategii czy baz klientów. Sprzedając to potem konkurencji również narazi firmę na ogromne straty.

Korupcja i łapownictwo to inny rodzaj bardzo groźnych dla organizacji przestępstw. Kupiec zajmujący się z ramienia firmy zakupem produktów czy innych materiałów na dużą skalę może wybrać dostawcę nawet ze słabą niekorzystną ofertą w zamian za przyjęcie korzyści majątkowej. Handlowiec z dużymi uprawnieniami co do manipulacji ofertą cenową przedsiębiorstwa może udzielić klientowi wysokich rabatów.

Zagrożenia zewnętrzne to przede wszystkim działalność nieuczciwej konkurencji i szpiegostwo gospodarcze. Narażone są tu strategie firmy, technologie i bazy danych klientów. Z zewnątrz mogą również wystąpić propozycje korupcyjne za którymi idzie narażenie organizacji na straty. Tu również ważne są procedury, ludzie dbający o bezpieczeństwo i środki zabezpieczenia technicznego. Nie można zapomnieć również o przestępstwach pospolitych czyli kradzieżach dokonywanych przez osoby z zewnątrz. Mogą to być dostawcy i usługodawcy wchodzący na teren firmy. W bardziej skrajnych przypadkach zagrożeniem może być celowe wprowadzenie osoby z zewnątrz przez np. konkurencję. Wprowadzenie takie następuje w sposób oczywiście niejawny i pod tak zwanym „przykryciem” oraz odpowiednią legendą np. kandydata do pracy w Waszej firmie.

Rodzaje błędów czy niedopatrzeń występujących w organizacjach mają różne podłoże. Może to być wcześniej wspominamy czynnik ludzki. W praktyce czynnik ludzki i związane z nim błędy oraz nadużycia mają różne podłoże. Sama możliwość dokonania przestępstwa i okazje które widzi człowiek niestety motywują go do wielu czynów zabronionych. Brak procedur kontrolnych i procedur bezpieczeństwa to krok do nadużyć przeciwko mieniu pracodawcy. Patrząc niejako z drugiej strony barykady czynnik ludzki występuje również wśród pracowników mających pilnować bezpieczeństwa w organizacji czyli w strukturach ochrony. Brak motywacji, brak procedur i kontroli przełożonych na pewno wywoła rozluźnienie wśród pracowników ochrony. Może doprowadzić również do zmowy ochrony z pracownikami innych działów firmy w celu np. ułatwienia kradzieży mienia przedsiębiorstwa i późniejszego podziału „łupów”.

Nie można również pominąć błędów w procedurach lub niedopuszczalnego całkowitego braku procedur. Niewłaściwe procedury lub ich brak mogą doprowadzić do chaosu organizacyjnego. Jeśli służby odpowiedzialne za bezpieczeństwo nie wiedzą co mają robić to często nie robią nic w myśl zasady-nie ma procedury to nie ma działania. Ważne są również odpowiednie środki zabezpieczenia technicznego wspierającego komórkę ochrony. Sprzęt musi spełniać swoją rolę i być oczywiście sprawny. Ciągła kontrola tego systemu i ludzi pomaga w utrzymania prawidłowego stopnia bezpieczeństwa w organizacji.

Zgodnie z powyższym można powiedzieć, że ciągłe podnoszenie świadomości w zakresie bezpieczeństwa, kontrola i sprawdzanie jakości pracy zarówno ludzi jak i sprzętu pomagają uchronić się przed stratami oraz działaniami przestępczymi. Wymieniając tylko kilka powyższych zagrożeń możemy wykazać potrzebę ciągłej weryfikacji zabezpieczeń i nawet prewencyjnych audytów. Analizy Audytowe pomogą wykazać rodzaje błędów proceduralnych i pokazać luki w zabezpieczeniach. Wskażą konieczne rozwiązania wspierające ciągłe podnoszenie jakości bezpieczeństwa Waszego biznesu.

Koszty audytu bezpieczeństwa biznesu- organizacji są zgodne z rodzajem sprawdzeń i kontroli jak i z czasem pracy zespołu audytowego. Wycena takiego Audytu może wahać się od 8000 netto do nawet 20000 netto. W skrajnych przypadkach w zależności od nakładu pracy i wielkości firmy może kosztować nawet 100000 netto. Dla mniejszej firmy gdzie straty związane z kradzieżami są wpisane w koszty prowadzenia działalności, audyt bezpieczeństwa może być niekalkulującą się usługą. Kiedy cena jednostkowa potencjalnie skradzionego produktu czy technologie stosowane w firmie nie mają dużej wartości to właściciel przedsiębiorstwa nie zawraca sobie głowy bezpieczeństwem. Jednak nawet kiedy straty są stosunkowo niewielkie można zastanowić się nad prewencyjnym ostrzeganiem zarówno własnych pracowników jak i osób z zewnętrz, że nasza firma jest zabezpieczona przed atakami a w przypadku nadużyć wyciągnie wszelkie konsekwencje wobec przestępcy. Natomiast w przypadku dużych korporacji gdzie straty w przypadku nadużyć mogą sięgać setek tysięcy złotych a nawet kilku milionów złotych, audyt powinien być naturalną, powtarzaną rotacyjnie procedurą.

Świadomość, świadomość i jeszcze raz świadomość kadry zarządzającej firmy wobec zagrożeń i błędów proceduralnych może uchronić organizację przed stratami i działaniami przestępczymi. Również świadomość szeregowych pracowników co do nieuchronności kary pomoże w prewencji przeciwko nadużyciom. Oczywiście rodzaje zagrożeń i sposoby przeciwdziałania nadużyciom nieustannie ewoluują. Wobec tego ciągłe podnoszenie wiedzy w zakresie bezpieczeństwa i sprawdzanie wrażliwych procesów w naszej organizacji powinno wpisać się w procedury każdego szanującego się przedsiębiorstwa.

mgr Michał Sokołowski