Zagrożenia dotyczące przeprowadzenia rocznego Audytu wewnętrznego KRI

Z analizy stanu prawnego dokonanego przez ekspertów Fundacji AIMS wynika, że w związku z panującą obecnie epidemią SARS-CoV-2 w Polsce, w 2021 r. poważnie zagrożone może być przeprowadzenie przez podmiot publiczny audytu zgodnie z wymaganiami Rozporządzenia Rady Ministrów w sprawie KRI (Dz. U. z 2012r. poz. 526).

Zgodnie z zapisami zawartymi w dokumencie “Wytyczne dla funkcjonowania urzędów i instytucji państwowych w trakcie epidemii SARS-CoV-2 w Polsce” opracowanym przez Ministerstwo Rozwoju, Pracy i Technologii we współpracy z Ministerstwem Spraw Wewnętrznych i Administracji i Głównym Inspektoratem Sanitarnym, podmiot publiczny zobowiązany jest do stosowania poniższych ograniczeń:

◼ Podział realizowanych zadań tak, aby ich część – niewymagająca fizycznej obecności pracowników w obiekcie – mogła być, w miarę możliwości  realizowana zdalnie.
◼ Ograniczenie do niezbędnego minimum spotkań i narad wewnętrznych;
◼ Ograniczyć rozmowy z innymi pracownikami oraz interesantami.
◼ Ograniczyć przemieszczanie się po obiekcie oraz pomiędzy różnymi lokalizacjami urzędu/instytucji.

Zastosowanie powyższych restrykcji ogranicza możliwość lub wręcz uniemożliwia przeprowadzenie audytu przez audytorów wewnętrznych lub wynajętych audytorów zewnętrznych w tradycyjnej formie w postaci fizycznej obecności audytora w pomieszczeniach z danymi w podmiocie audytowanym oraz kontaktu osobistego z osobami audytowanymi.

W związku z tymi ograniczeniami, eksperci fundacji dokonali analizy przepisów:
◼ Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012r. poz. 526).
◼ Wspólne stanowisko Departamentu Informatyzacji MAiC i Departamentu Audytu Sektora Finansów Publicznych MF odnośnie zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji

Wynika z nich, iż możliwe jest przeprowadzenie audytu w trybie Online.
Państwo, jako podmiot publiczny mogą zgodnie z przepisami przeprowadzić audyt wykonany przez audytora wewnętrznego lub w szczególności przez audytora zewnętrznego w tymże trybie.

Nasza fundacja przeprowadzając szereg takich audytów Online, wypracowała efektywną metodykę ich prowadzenia.

Nasze doświadczenia wskazują, że organizując u siebie audyty Online podmiot publiczny powinien zadbać o:
◼ Komunikator z kamerą (np. Zoom, Skype) po stronie audytora oraz osób audytowanych
◼ Mail
◼ Specjalną listę kontrolną do oceny spełnienia 14 kryteriów zawartych w § 20 ust. 2 Rozporządzenia (uwzględniającą zdalny charakter audytu)
◼ Zaangażowanie wyszkolonego audytora wewnętrznego lub audytora zewnętrznego posiadającego np. certyfikat audytora wiodącego ISO 27001

Dodatkowo, na uwagę zasługuje fakt, że audyty ONLINE, wykonywane przez audytorów wewnętrznych lub audytorów zewnętrznych są mniej czasochłonne i nawet 70% mniej kosztowne w stosunku do kosztów audytu tradycyjnego.