Podczas przeprowadzanych w firmie audytów wewnętrznych, osoba kontrolująca ma za zadanie skontrolować potencjalne źródła zagrożenia dla bezpieczeństwa danych przetwarzanych i przechowywanych przez firmę. Dodając tutaj fakt nieustannego rozwoju technologii cyfrowej, firmy są coraz bardziej narażone na wyciek wrażliwych danych, dlatego też tak ważne jest przeprowadzanie regularnych kontroli. Poniżej opiszemy, czym zajmuje się audytor ISO 27001 i jakie musi mieć kwalifikacje, by móc wykonywać swoje obowiązki.
Czym zajmuje się audytor ISO 27001?
Jest to osoba dokładnie obeznana z normą ISO 27001, która na podstawie zgromadzonej wiedzy jest w stanie wspomóc firmę we wdrażaniu owej normy oraz w przejściu procesu certyfikacji. Tak jak w przypadku jakiegokolwiek innego audytu, tutaj zadaniem audytora ISO 27001 jest wskazanie niedociągnięć i wskazanie możliwych sposobów na ich skorygowanie, czy też kontrola, czy wprowadzone dotychczas standardy są wcielone w życie w sposób prawidłowy.
Regularne przeprowadzanie audytów ISO daje firmie pewność, że zastosowane systemy bezpieczeństwa są prowadzone w prawidłowy sposób i czy wszystko jest w pełni zgodne z założeniami postawionymi w momencie ich wdrażania.
Jakie kwalifikacje powinien mieć audytor?
Główną kwalifikacją audytora jest odbycie gruntownego przeszkolenia z zakresu normy ISO 27001. Dochodzą tutaj również istotne cechy charakteru, takie jak obiektywizm i bezstronność – to właśnie dzięki nim audytorzy są w stanie spojrzeć na dokumentację chłodnym okiem i nie pomijać różnych nieprawidłowości na korzyść firmy.
Kompetencje twarde audytora
- Zrozumienie wytycznych znajdujących się w normie ISO 27001.
- Znajomość zasad przeprowadzania audytu.
- Wiedza z zakresu sporządzenia planu audytowego.
- Sprawna identyfikacja korzyści płynących z audytu, a także zagrożeń wynikłych w trakcie kontroli.
- Umiejętna ocena systemu zarządzania informacjami w firmie.
- Certyfikat potwierdzający zdobycie kwalifikacji, np. ERCA (ang. European Register of Certified Auditors).
Kompetencje miękkie audytora
- rzetelność
- elastyczność
- obiektywizm
- dyscyplina
- sumienność
- organizacja pracy własnej i innych
- umiejętność przekonywania
- umiejętność współpracy
Audytor ISO 27001 – gdzie może znaleźć zatrudnienie?
Mając odpowiednie kwalifikacje z zakresu przeprowadzania audytu, można pracować zarówno jako audytor wewnętrzny, jak i zewnętrzny. W przypadku przeprowadzania audytu wewnętrznego audytor zajmuje się jedynie kontrolowaniem stanu bezpieczeństwa firmy, w której pracuje. Jako że jedną z ważnych kompetencji miękkich audytora jest umiejętność kierowania pracą zespołu, może on otrzymać z czasem awans na managera ds. audytu wewnętrznego. Może też otrzymać stanowisko specjalisty w jednym z działów firmy, w której pracuje.
W przypadku audytorów zewnętrznych, audytorzy przez pierwsze 3 lata swojej pracy wykonują obowiązki pod okiem starszego konsultanta, przy czym samodzielnie prowadzone audyty mogą uzyskać już po 2 latach. Inną formą rozwoju kariery po upływie tego czasu jest możliwość zostania specjalistą ds. przeprowadzania kontroli lub zmiana formy działania na przeprowadzanie audytów wewnętrznych. Warto, aby audytorzy zewnętrzni, szczególnie jeśli działają w sektorze finansowym, postarali się o uprawnienia biegłego rewidenta.
Z jakimi problemami może się zetknąć audytor w swojej pracy?
Oprócz zawartych powyżej najważniejszych informacji, warto wspomnieć kilka słów również o minusach zawodu audytora. Nierzadką sytuacją w firmach jest przygotowanie zawczasu fałszywej dokumentacji, jaka ma na celu zatuszowanie nieprawidłowości w firmie i zajęcie czasu audytorowi. Warto jednak pamiętać, że doświadczony audytor szybko zorientuje się w sytuacji, choćby poprzez ocenę zgodności dokumentacji ze stanem rzeczywistym – formą realizacji projektów czy też poziomem zaangażowania personelu w ich wykonywanie.
Częstym problemem jest także rutyna w zawodzie. Każdy audyt musi przebiegać wedle dokładnie ustalonych procedur, a audytorzy są zobowiązani do trzymania się stałych fragmentów audytu, z jakich następnie sporządzą raport. Rutyna jednak dotyczy formy przeprowadzania audytu – procesy brane pod uwagę powinny być wybierane losowo, tak aby audyt nie skupiał się zawsze wyłącznie na jednym, określonym rodzaju procesu.
Audytor ISO 27001 odpowiada za skontrolowanie panujących w firmie norm bezpieczeństwa, wskazanie niedociągnięć, lecz także jest w stanie udzielić pomocy we wdrażaniu ulepszeń. Oprócz ważnych kwalifikacji i certyfikatów audytor musi mieć odpowiednie kompetencje miękkie, takie jak dokładność, sumienność i obiektywizm, dzięki któremu spojrzy chłodnym okiem na sytuację w firmie. Audytorzy mają szansę na rozwój swojej kariery jako managerzy ds. kontroli wewnętrznej w firmie lub jako specjaliści w jednym z jej działów.