Одним из важнейших подлежащих контролю и периодической оценке направлений на любом объекте должно быть обеспечение безопасности: без актуальной и объективной информации о ситуации на данном направлении невозможно решать текущие задачи. При этом важно продемонстрировать комплексный, цельный подход. 

Аудит позволяет получить цельную и отвечающую действительности картину наличия рисков и управления ими, а по результатам такой проверки – ещё и рекомендации по минимизации, либо устранению обнаруженных рисков и угроз.

Процедура может быть внутренней – в этом случае используются собственные ресурсы организации, и внешним. Необходимость во внешнем аудите возникает в ситуации, когда обойтись внутренним уже нельзя, либо для его проведения не хватает ресурсов и компетенций. 

Когда возникает необходимость в аудите безопасности? 

Основанием для аудиторской проверки безопасности должны стать: 

• смена топ-менеджмента на наиболее важных руководящих позициях в структуре организации;
• масштабные изменения в организационной структуре;
• выход на инвестиционные площадки;
• смена позиционирования или бизнес-модели, направления деятельности;
• обнаружение случаев незаконного проникновения в информационные системы, хищения данных;
• обнаружение фактов преступных посягательств на имущество организации;
• выявленные в ходе текущей деятельности уязвимости и «хромающие» бизнес-процессы. 

Что нужно проанализировать?

В ходе проведения аудита безопасности необходимо подвергнуть анализу ряд ключевых подсистем безопасности, в том числе: 

• Антикоррупционный комплекс 

Системные меры, предпринимаемые организацией и направленные на профилактику коррупции внутри компании. В рамках аудита анализируется и проверяется нормативная база, изучаются особенности корпоративной культуры, проводятся тренинги. Важно также наладить взаимодействие с контрагентами и (при их наличии) филиалами и дочерними предприятиями. 

• Правовая безопасность 

В рамках этого направления работы необходимо выяснить, в какой мере подразделения компании соблюдают обязательные требования, как учитываются и отрабатываются юридические риски, проводится работа по их обнаружению, минимизации и ликвидации. 

Здесь проверяют модель функционирования и структуру юридического подразделения, его функционал, особенности текущей деятельности. Проводится также аудит внутренней документации. 

• Служба безопасности 

Подразделение внутри организации, несущее непосредственную ответственность защиты от возникающих внутренних и внешних угроз, в том числе – от преступных посягательств. Здесь важно проанализировать особенности руководства и общую документацию, организационную структуру и методы управления и контроля. Наконец, важное значение играет МТО службы безопасности и её бюджет. 

• Служба корпоративной разведки 

Это направление отвечает за сбор, систематизацию и обработку данных, необходимых для выработки решений, направленных на повышение конкурентоспособности бизнеса. 

• Безопасность кадров 

Комплекс мер, реализуемых в целях создания максимально продуктивных условий для работы сотрудников организации. Аудиту подлежат HR-процессы и процедуры поиска и проверки соискателей, обучения и комплекса мотивационных и контрольных мер. 

• Комплекс мер, направленных на защиту владельца организации 

Успешный и крупный бизнес неизбежно привлекает внимание, поэтому задача по обеспечению личной безопасности хозяина бизнеса и его окружения – важный элемент комплексной системы безопасности организации. Проверке подлежит личная охрана собственника (при её наличии), место жительства и его обслуживающий персонал, территория и периметр, живущие по соседству граждане. Отдельной важной задачей является информационный комплаенс. 

• Физическая охрана организации 

В рамках этого направления необходимо проанализировать степень защищённости охраняемого объекта, будь то офисное, производственное или складское здание, прилегающая территория и др., по ряду направлений, от содержания и актуальности нормативных документов до различных технических аппаратных и программных средств (охранное телевидение, контроль доступа, системы сигнализации, хранения и архивации данных, основного и резервного контура теплоснабжения, освещения и обеспечения электроэнергии), поведенческих паттернов посетителей объекта. 

• Информационная безопасность

В рамках этого направления необходимо проверить, насколько применяемые в организации процессы, направленные на обеспечение сохранности и конфиденциальности данных, отвечают современным представлениям об информационной безопасности и потребностям организации. Речь идёт об аудите систем противодействия киберугрозам, управления активами, доступом, системами парольной защиты; технических мер по защите данных, безопасности помещений, где располагаются серверы; безопасности персональных данных. 

Итогом аудита безопасности становится подготовка документа, представляющего структурный анализ существующих систем безопасности, в котором отражены: 

• оценка и анализ недостаточно защищённых элементов системы;
• анализ правовой, организационной и распорядительной документации организации;
• анализ действующих практик безопасности и контроля, применяемых в организации;
• оценка защищённости подконтрольных бизнес-процессов;
• перечень видов и степень вероятности рисков и угроз, стоящих перед организацией.
• рекомендации по минимизации либо предотвращению угроз;
• рекомендации по разработке необходимых документов и внедрению процессов в интересах бизнеса клиента.

К отчёту могут прилагаться копии действующих локальных нормативных актов, фотографии с фиксацией нарушений с указанием хронологических маркеров, видеоматериалы и другие приложения, необходимые для наглядной демонстрации выявленных недочётов. 

Резолютивная часть содержит оценку состояния безопасности подлежащего аудиту объекта (как правило, выставляются оценки от «отлично» до «неудовлетворительно»), а также рекомендации по минимизации либо предотвращению угроз и по разработке необходимых документов и внедрению процессов в интересах бизнеса клиента. 

Такой комплексный аудит не может происходить быстро; это достаточно длительная процедура, длящаяся около календарного месяца (при необходимости срок может быть продлён дополнительно на 7-21 календарных дней).