Главная » Бизнес планы

Бизнес план аудит безопасности

Проведение аудита безопасности: Введение

От слова „аудит” даже у самих закаленных в битвах должностных лиц могут побежать мурашки по коже. Это значит, что некая внешняя организация проведет формальную письменную проверку одного или нескольких компонентов организации. Аудит безопасности информации – это один из лучших путей для достижения безопасности информации внутри организации без лишних затрат или других убытков, связанных со случаями нарушения безопасности.

От слова „аудит” даже у самих закаленных в битвах должностных лиц могут побежать мурашки по коже. Это значит, что некая внешняя организация проведет формальную письменную проверку одного или нескольких компонентов организации. Финансовые аудиты – наиболее привычные проверки, с которыми встречается финансовый менеджер. Это явление известно всем должностным лицам: они знают, что финансовые аудиторы произведут проверку финансовых записей и путей их использования. Они также могут быть знакомы с аудитом безопасности на физическом уровне. Однако, они вряд ли знакомы с аудитом безопасности информации; то есть методами обеспечения конфиденциальности, доступности и целостности информации. Аудит безопасности информации – это один из лучших путей для достижения безопасности информации внутри организации без лишних затрат или других убытков, связанных со случаями нарушения безопасности.

Фраза «проверка безопасности» употребляется взаимозаменяемо с фразой «аудит компьютерной безопасности», хотя эти понятия отличаются. Проверка безопасности (pen-test) — это узко направленная проверка наличия брешей в критических ресурсах, таких как межсетевая защита или Web сервер. Проверяющие безопасность могут рассматривать лишь один сервис на сетевом ресурсе. Они обычно работают извне с минимальной информацией о данной сети для того, чтобы как можно более реалистично симулировать возможную атаку хакера.

С другой стороны, аудит компьютерной безопасности – это систематическая оценка того, как устроена политика безопасности данной организации. Аудиторы компьютерной безопасности работают с полным владением информацией об организации, ее внутренней структуре, для того, чтобы исследовать ресурсы, которые должны состоять под аудитом.

Аудит безопасности является частью процесса определения и управления эффективными политиками безопасности, и это не просто разговоры и конференции. Аудит безопасности касается каждого, кто использует ресурсы внутри организации. Он предоставляет все возможности для проверки безопасности вашей фирмы.

Аудиторы компьютерной безопасности осуществляют проверку посредством личных опросов, сканирований на наличие уязвимостей, проверки настройки операционной системы, анализа открытых сетевых ресурсов, истории данных. Они в первую очередь исследуют использование политик безопасности – основу любой эффективной стратегии безопасности организации. Далее следуют вопросы, на которые аудит безопасности должен найти ответ:

  • Насколько сложно подобрать пароль?
  • Используется ли ACLs на сетевых ресурсах для контроля доступа к данным?
  • Ведется ли аудит доступа к данным?
  • Просматриваются ли логи аудита?
  • Соответствуют ли настройки безопасности операционной системы общепринятой практике безопасности
  • Устранены ли все ненужные приложения и сервисы на каждой системе?
  • Пропатчены ли операционные системы и коммерческие приложения до нужного уровня?
  • Как хранятся копии данных, кто имеет к ним доступ, проводится ли сохранение данных регулярно?
  • Разработан ли план восстановления данных в случае инцидента? Проводились ли тренировки по восстановлению данных?
  • Есть ли в наличии криптографические утилиты для шифрования данных и настроены ли они должным образом?
  • Были ли написаны используемые программы с учетом безопасности?
  • Каким образом проводилось тестирование этих программ на предмет наличия брешей в их безопасности?
  • Каким образом ведется аудит изменений кода и конфигураций на каждом уровне? Как просматриваются эти записи и кто ответственный за проведение их просмотра?

Это лишь несколько вопросов, на которые следует обратить внимание при проведении аудита безопасности. Отвечая честно и точно на эти вопросы, организация может представить реальную картину безопасности своей жизненно важной информации.

Определение политик безопасности

Аудит безопасности – это, по существу, оценка эффективности применения политик безопасности внутри организации. Конечно, предполагается, что организация уделяет внимание политике безопасности, что, к сожалению, не всегда является таковым. Даже сейчас во многих организациях не существует четко сформулированной политики. Политики безопасности являются средствами стандартизации практики безопасности посредством их документирования (в письменной форме) и соглашения со стороны сотрудников, прочитавших и подписавшихся под ними. Если не существует написанных политик безопасности, или они неформальны, то это может привести к их неправильному пониманию и невыполнению сотрудниками. Проведение политики безопасности должно требовать ознакомление и согласие в письменной форме с оными. Наличие политик безопасности не затрагивает вопрос компетентности работников, а скорее дает уверенность в том, что каждый работник знает, как защитить информацию, и согласен исполнять свое обязательство.

Проблемы часто возникают на рабочих местах между культурой поведения и политиками безопасности. Даже при большой ответственности и осознании ее сотрудники часто предпочитают удобство безопасности. Например, сотрудники знают, что должны выбирать трудно угадываемые пароли, но они также хотят, чтобы эти пароли были всегда под рукой. Каждый аудитор знает, что следует проверить, не наклеены ли бумажки с паролем на мониторе, и не прячет ли работник свой пароль под клавиатурой (почему-то многие сотрудники убеждены, что это – самое безопасное место). Также каждый аккаунт администратора должен иметь пароль; часто из-за спешки установка пароля откладывается на потом, что приводит к появлению уязвимой системы в сети.

Целью аудита безопасности является поиск слабины в политиках безопасности и рекомендации по их решению. Политика должна быть также объектом внимательного рассмотрения. Действительно ли это существующий документ, точно описывающий способы ежедневной защиты организацией ИТ ресурсов? Отражает ли политика производственные стандарты используемых ИТ ресурсов внутри организации?

Прежде чем аудиторы компьютерной безопасности приступят к предварительному аудиту, им следует проделать большое количество организационных работ. Они должны быть знакомы с объектом аудита. Вместе с анализом результатов раннее проведенных аудитов, аудиторам следует взять на вооружение некоторые инструменты, к которым они впоследствии обратятся. Первый – это предварительное знакомство с фирмой; техническое описание хостов системы, включающее управление и данные о пользователях. Такая информация может быть устаревшей, но, тем не менее, давать общее представление о системе. Общие сведения касательно безопасности могут быть использованы при дальнейшем знакомстве с предприятием. Эти сведения являются естественно субъективными, но они полезны, так как позволяют создать общую картину, построенную на практике. Аудиторам часто задают вопросы о средствах и методах оценки ситуации при контроле за ИТ ресурсами. К таковым относятся: средства управления, средства контроля доступа/аутентификации, безопасность на физическом уровне, внешний доступ к системе, средства и методы администрирования системы, соединение с внешними сетями, удаленный доступ, ответственность за инцидент, предварительное планирование.

Анализ фирмы и сведения о безопасности должны быть четко описаны с определенным количеством ответов на специфические требования. Они должны быть пронумерованы по возрастанию от менее (без особых требований) к более желанным (с особыми требованиями и документацией). И те, и другие должны иметь электронные коммерческие соглашения о пригодности для клиентской организации. Например, компании, выпускающие кредитные карточки имеют перечень соглашений о безопасности для своих продуктов. Эти соглашения включают в себя сетевую безопасность, безопасность операционной системы и приложений, а также защиту на физическом уровне.

Читайте также:  Есть деньги нужен бизнес план

Аудиторы, в основном внутренние аудиторы, должны рассмотреть предыдущие инциденты в клиентской организации, связанные с безопасностью с целью установить слабые места в организации безопасности. Также должны быть проанализированы настоящие условия во избежания повторения неприятных инцидентов. Если аудиторы проверяют систему, позволяющую выход в Интернет, им следует обратить внимание на логи IDS/Фаерволов. Отображают ли эти логи попытки воспользоваться уязвимостями системы? Может ли для этого существовать какая-то причина (например, ошибка в настройках фаервола), по которой эти попытки могут иметь место. Возможно ли это проверить?

Из-за большого объема данных, которые подлежат проверке, аудиторы захотят работать с клиентами напрямую, чтобы определить масштаб работ для аудита. Факторы, влияющие на это: бизнес план фирмы, способ защиты данных и значение/важность этих данных для организации, предыдущие инциденты, время для проведения аудита и талант/компетентность аудиторов. Профессиональные аудиторы захотят четко определить масштаб работ, соглашенный с клиентом.

Далее аудиторы разрабатывают план, согласно которому будет приводиться аудит, персонал, с которым будут работать аудиторы и инструменты аудита. Затем они обсуждают план с агентством. После этого аудиторы обсуждают цель аудита с персоналом и согласуют некоторые детали, такие как время проведения аудита, требующиеся средства и влияние аудита на повседневную работу. Далее, аудиторы должны убедиться в том, что цели аудита поняты персоналом.

По прибытии на фирму, аудиторы не должны мешать ведению бизнеса во время проверки. Им следует провести инструктаж, в котором аудиторы снова подчеркнут масштаб своей работы и их планы. Любые вопросы, возникшие у сотрудников фирмы, должны быть разъяснены, и в конце беседы подведены итоги настоящей цели аудита.

Аудиторы должны быть строгими и беспристрастными и проводить аудит согласно стандартам и методам. Во время аудита они будут собирать данные о физической безопасности компьютеров и проводить интервью. Они могут произвести оценку уязвимости сети, безопасности операционных систем и приложений, оценку контроля за доступом и другие вычисления. Во время процесса проверки аудиторам следует придерживаться заранее определенного плана, и в то же время быть готовыми к неожиданным проблемам. Они должны действовать между сложившимися понятиями или ожиданиями того, что они должны найти и того, что есть на самом деле.

Проведение заключительного инструктажа

После окончания проверки, аудиторы проведут заключительный инструктаж, убеждаясь в том, что руководство в курсе всех проблем, которые должны быть решены немедленно. На вопросы от руководства следует отвечать в нормальной манере, чтобы не создать плохого впечатления об аудите. Следует подчеркнуть, что аудиторы не способны в данный момент дать четкие ответы на поставленные вопросы. Все окончательные выводы будут сделаны после окончательных анализов результатов аудита.

Возвратившись в офис, аудиторы начнут объединять свои записи для проверки и анализировать собранные данные с помощью оценочных инструментов. Должно состояться первое собрание, для того, чтобы подбить отчет результатов аудита. На этом собрании аудиторы могут определить области проблем и возможные решения. Аудиторский отчет может быть составлен в нескольких формах, но текст отчета должен быть простым и прямолинейным, содержащим конкретные данные о найденных проблемах вместе с решениями по устранению этих недостатков.

Аудиторский отчет может быть составлен в виде заключения, содержащим детали найденного и дополнений, таких как результаты сканирования. При написании отчета следует сначала сделать краткое описание, так как придется вскоре после возвращения дать краткий отчет руководству. Очень важно представлять, что сильные и слабые стороны безопасности должны быть описаны в кратком изложении, чтобы сбалансировать отчет. Далее аудитор может предоставить рапорт, основанный на проверке. Обнаруженные уязвимости должны быть представлены в простой и логичной форме на отдельном листе для каждой обнаруженной уязвимости. На таком листе должна быть описана проблема, ее значение и методы решения. На листе должно остаться место для подтверждения правильных путей аудита и блок для комментариев чтобы оспорить найденное.

Не заставляйте их ждать

Отчет должен быть представлен быстро и четко, чтобы заказчик мог исправить проблемы, обнаруженные при аудите. В зависимости от политик компании, аудиторы должны быть готовыми объяснить недостатки и помочь устранить их. Руководство должно вести наблюдение за недостатками, выявленными во время аудита до тех пор, пока они не будут устранены.

Аудит – это не событие, а процесс

Следует помнить, что с развитием организации, меры безопасности также должны меняться. С этой точки зрения аудит компьютерной безопасности – это не одноразовая задача, а продолжительные попытки защитить данные. Аудит исследует политику безопасности организации и проводит анализ эффективности этой политики в контексте структуры организации, ее целей и действий. Аудит должен быть построен на прошлой проверке, чтобы помочь вникнуть в политику и исправить уязвимости, обнаруженные в процессе аудита. Инструменты также являются важной частью процесса аудита, так как аудит не будет эффективным без использования последних и самых лучших инструментов поиска уязвимостей, а значимости ему прибавит использование организованной, последовательной, точной информации о данных и анализе, позволяющим нахождение и устранение ошибок.

Источник

«Комплексный аудит безопасности торгового объекта»

ВИКТОР БЕЛОВ, эксперт по экономической безопасности

На наш взгляд, одним из основных направлений, подлежащих обязательному периодическому непосредственному контролю и оценке, должно быть обеспечение безопасности торгового объекта. Объективная информация о положении дел на этом участке работы должна регулярно доводиться до сведения руководства торговой компании. Поэтому в рамках настоящей статьи мы поговорим об организации и порядке проведения аудита безопасности торгового объекта. Концепция построения безопасности современного торгового предприятия основана на комплексном подходе к этому вопросу.

Соответственно, логично предположить, что и оцениваться уровень обеспечения безопасности торгового объекта должен комплексно, по всем направлениям. Исходя из сказанного, представляется целесообразным использовать термин «комплексный аудит безопасности торгового объекта» как наиболее полно отражающий суть рассматриваемого направления контроля. Услуги по проведению аудита предприятий различных форм собственности и различной направленности деятельности предлагает достаточно большое количество специализированных организаций. Мне же представляется вполне разумным проведение комплексного внутреннего аудита непосредственно сотрудниками центрального офиса торговой компании.

Предлагаемый в этой статье вариант организации и порядка проведения комплексного аудита безопасности апробирован в одной из региональных торговых сетей объектов формата супермаркет/гипермаркет, поэтому, пожалуй, не все наши рекомендации могут быть в полной мере экстраполированы на другие торговые организации. При определении ключевых моментов в ходе подготовки к проведению комплексного аудита безопасности: периодичности, состава комиссии и др. – значение могут иметь различные факторы, в частности количество торговых объектов в рамках сети, их географическая удаленность, концентрация в отдельных регионах, формат торговых объектов, структура организации подразделения торговой компании, занимающегося вопросами обеспечения безопасности (служба безопасности) и др. Однако думается, что основные приведенные положения могут быть применены с учетом вышеуказанных особенностей на большинстве торговых предприятий.

Читайте также:  Написанный бизнес план салона красоты

Общие положения
Аудит безопасности представляет собой периодический, документируемый процесс, целью которого является оценка текущего уровня защищенности торгового объекта от возможных внешних и внутренних угроз.

В рамках аудита безопасности проводится общая оценка готовности торгового объекта к различного рода угрозам и вырабатываются предложения по их минимизации до приемлемого уровня. Задача комплексного аудита безопасности – дать заключение по организационно-тактическим мерам по обеспечению режима безопасности на объекте, их соответствию всем требованиям и адекватности существующим реальным и потенциальным угрозам. Результаты аудита являются основой для формирования дальнейшей стратегии безопасности торгового предприятия. В процессе аудита осуществляется также проверка эффективности существующих организационно-тактических мер противодействия угрозам безопасности. Аудит безопасности позволяет получить объективную оценку текущего состояния защищенности торгового объекта, рассчитать риски с учетом вероятности реализации угроз, а также возможный ущерб. Ниже даны рекомендации, касающиеся последовательности и характера действий комиссии по проведению комплексного аудита безопасности на торговых объектах сети, а также порядка реагирования руководителей структурных подразделений компании и иных должностных лиц на результаты проведенных проверок.

Комиссия по проведению комплексного аудита безопасности
В состав комиссии по проведению комплексного аудита безопасности, как правило, включаются руководители отделов и сотрудники службы безопасности торговой организации. Комплексный аудит безопасности может проводиться группой из следующих должностных лиц: начальника отдела экономической безопасности торговой организации (председатель комиссии по проведению комплексного аудита безопасности); начальника отдела внутренней безопасности торговой организации; специалистов отдела экономической безопасности; начальника регионального сектора службы безопасности (региональный менеджер по безопасности), осуществляющего непосредственное функциональное руководство подразделением службы безопасности проверяемого торгового объекта. В качестве специалистов-аудиторов в состав комиссии могут быть включены менеджеры по безопасности (руководители подразделений службы безопасности) других торговых объектов сети.

В состав комиссии по проведению комплексного аудита безопасности могут также войти и другие специалисты: руководитель службы безопасности торговой организации (в качестве председателя комиссии по проведению комплексного аудита безопасности); заместители генерального директора (топменеджеры) торговой организации. Комплексный аудит безопасности каждого торгового объекта рекомендуется проводить не реже одного раза в год в форме непосредственного изучения обстановки на торговом объекте, проверки ведения учетной, финансовой и иной документации должностными лицами розничного структурного подразделения.

Подготовка к проведению комплексного аудита безопасности
Время, дата и место проведения аудита безопасности выбираются начальниками отделов службы безопасности компании по устному согласованию с руководителем службы безопасности торговой организации. Выбор конкретного объекта для проведения аудита может быть вызван разными причинами, например после последней инспекторской проверки уже прошло достаточное время или поступила информация о существенных недостатках в работе подразделений службы безопасности торгового объекта, или появились данные годовой инвентаризации, которые вызывают тревогу, или возникли другие обстоятельства, требующие проверки для получения объективной картины состояния безопасности торгового объекта. Решающим при выборе может оказаться и факт предстоящей аттестации руководителя подразделения службы безопасности торгового объекта или директора (управляющего) этого объекта.

Руководство торгового объекта должно обеспечить все необходимые условия для объективной и всесторонней оценки системы безопасности

На основании указания начальников отделов о времени, дате и объекте проведения комплексного аудита безопасности руководитель регионального сектора службы безопасности составляет план проведения аудита, который согласовывается с началь ником отдела внутренней безопасности и утверждается руководителем службы безопасности торговой организации. Первый заместитель генерального директора (операционный, исполнительный директор) торговой организации информируется о запланированной дате и объекте проведения аудита не менее чем за 10 дней. Он вправе дать рекомендацию лицам, включенным в состав комиссии по проведению комплексного аудита безопасности, о проведении дополнительных проверок по линиям, не относящимся непосредственно к обеспечению безопасности торгового объекта, например касающимся операционной деятельности. Руководство торгового предприятия и руководитель подразделения службы безопасности объекта, где будет проводиться комплексный аудит безопасности, заранее о дате проведения аудита не информируются.

Непосредственное проведение комплексного аудита безопасности
По прибытии на торговый объект председатель комиссии по проведению комплексного аудита безопасности сообщает руководству объекта о предстоящей проверке. Далее членами комиссии по проведению комплексного аудита безопасности проводятся мероприятия по выявлению и фиксации недостатков в системе безопасности торгового объекта. Руководство торгового объекта должно обеспечить все необходимые условия для объективной и всесторонней оценки системы безопасности торгового объекта членами комиссии. Председатель комиссии по проведению комплексного аудита безопасности определяет направления, по которым будет осуществляться проверка каждым членом комиссии: Уровень инженерно-технической защищенности и укрепленности торгового объекта:
• состояние входных, эвакуационных выходов, грузовых ворот, оконных проемов, запорных устройств и др.;
• степень освещенности территории в ночное время;
• наличие потенциальной возможности несанкционированного проникновения в здание торгового объекта;
• состояние технических средств обеспечения безопасности (охранно-пожарная сигнализация, эффективность, функциональность и исправность системы видеонаблюдения, наличие стационарных и переносных кнопок тревожной сигнализации, исправность и эффективность противокражной систе мы, соблюдение инструкции о порядке использования противокражных датчиков);
• соблюдение договорных обязательств обслуживающими организациями, периодичность технического обслуживания, фиксация периодичности посещения представителей обслуживающих организаций в учетных журналах;
• защищенность от физического воздействия средств технического обеспечения (отбойники перед противокражными воротами, укрепленность кронштейнов видеокамер и т. д.);
• наличие ограничителей на выходах из торгового зала через неработающие кассы;
• иные вопросы технической укрепленности. Пожарная безопасность:
• наличие и количество схем эвакуации;
• состояние пожарных кранов и огнетушителей;
• своевременность заправки огнетушителей;
• периодичность проведения занятий по пожарной безопасности с персоналом;
• наличие приказа о назначении ответственного за пожарную безопасность по торговому объекту;
• своевременность выполнения предписаний инспекторов пожарной охраны;
• наличие необходимой документации;
• иные направления, связанные с обеспечением пожарной безопасности. Информационная безопасность:
• наличие посторонних программ на ПК пользователей;
• блокировка USB-портов;
• оставление включенными ПК в отсутствие пользователей;
• работа с электронной почтой;
• наличие и хранение документов, содержащих информацию, распространение которой может навредить интересам торговой компании, и др. Соблюдение правил техники безопасности:
• наличие и качество заполнения журналов инструктажей;
• наличие нарядов допуска на опасные виды работ и своевременность их заполнения;
• наличие необходимых допусков для работы на электроштабелерах;
• обеспечение безопасности покупателей и т. д. Соблюдение внутриобъектового режима и состояние контроля за его исполнением:
• наличие локальных нормативно-правовых актов, регламентирующих внутриобъектовый режим; • уровень трудовой и исполнительской дисциплины;
• соблюдение правил внутреннего трудового распорядка;
• наличие и порядок ведения журнала прибытия-убытия персонала;
• своевременность доклада об опозданиях и иных нарушениях сотрудников;
• невозможность бесконтрольного выхода сотрудников из гипермаркета во время рабочей смены;
• порядок оформления кратковременного убытия сотрудников из торгового объекта;
• порядок досмотра линейного персонала после окончания смены и др. Соблюдение финансовой дисциплины:
• организация делопроизводства и бухгалтерского учета;
• порядок оформления финансовых документов;
• соблюдение инструкций о порядке проведения внутренней и внешней инкассации;
• соблюдение порядка возврата денежных сумм покупателям по неиспользованным кассовым чекам, в том числе ошибочно пробитым кассовым чекам;
• иные вопросы, связанные с обеспечением финансовой дисциплины. Работа руководителя подразделения службы безопасности торгового объекта:
• кадровая работа и обеспечение кадровой безопасности;
• тщательность проверки кандидатов;
• регулярность проведения личных собеседований с кандидатами;
• ведение учетной документации руководителем и старшим смены подразделения службы безопасности;
• культура делопроизводства;
• уровень контроля за соблюдением должностных инструкций линейным персоналом торгового объекта;
своевременность направления ежедневных служебных записок директору торгового объекта и качественный уровень этих записок;
• информационная составляющая служебных записок;
• наличие графиков работы сотрудников подразделения службы безопасности, своевременность ознакомления персонала торгового объекта с ними;
• наличие графиков отпусков сотрудников подразделения службы безопасности;
• качество планирования и проведения занятий по профессиональной подготовке с сотрудниками службы безопасности и учебных занятий с линейным персоналом торгового объекта;
• своевременность информирования директора торгового объекта и руководителей службы безопасности компании о предстоящих занятиях, а также о факте их проведения;
• состояние технических средств обеспечения безопасности: радиостанций, кнопок тревожной сигнализации, фонарей и др.;
• наличие приказа о закреплении радиостанций за должностными лицами торгового объекта;
• обеспеченность сотрудников подразделения службы безопасности форменной одеждой (офисной и теплой);
• наличие планов индивидуальных норм выявлений фактов причинения ущерба и выполнение их сотрудниками подразделения службы безопасности;
• периодичность проверок старшими смен несения дежурства сотрудниками охраны в ночное время (в торговых объектах, где имеется ночная охрана), вечернее время, в выходные и праздничные дни;
• уровень контроля за процессами учета товародвижения в торговом объекте;
• своевременное реагирование на результаты текущих, контрольных и итоговых инвентаризаций; • состояние работы по предотвращению и минимизации потерь торгового объекта;
• эффективность руководства сменными нарядами сотрудников охраны;
• уровень личной дисциплинированности и исполнительности руководителя подразделения службы безопасности и т. д. Уровень и организация взаимодействия с территориальными правоохранительными и контролирующими органами:
• наличие планов и схем взаимодействия с правоохранительными органами на случай возникновения кризисных и нештатных ситуаций;
• наличие локальных актов по действиям персонала при возникновении нештатных ситуаций;
• обеспеченность должностных лиц торгового объекта контактными телефонами служб оперативного реагирования.

Читайте также:  Расчеты бизнес план ветеринарной клиники

Прогнозирование причин и условий, способствующих нанесению финансового, материального и морального ущерба торговому объекту, а также нарушению его нормального функционирования. Уровень обеспечения антитеррористической безопасности торгового объекта. Проверка по вопросам, указанным в рекомендации первого заместителя генерального директора (операционного, исполнительного) торговой организации. Выявление иных потенциальных рисков и угроз торговому объекту. Все недостатки, которые были выявлены на торговом объекте, доводятся председателем комиссии по проведению комплексного аудита безопасности до сведения директора и руководителя подразделения службы безопасности торгового объекта в день проверки. При этом от указанных и иных должностных лиц торгового объекта проверяющими (членами комиссии по проведению комплексного аудита безопасности) могут быть затребованы предварительные устные объяснения возможных причин возникновения недостатков и письменные объяснения по фактам, которые могут повлечь дисциплинарную ответственность должностных лиц.

Составление отчетной документации по итогам проведения комплексного аудита безопасности
По итогам проведения комплексного аудита безопасности членами комиссии составляются служебные записки на имя руководителя службы безопасности торговой компании о выявленных нарушениях и недостатках по направлениям, определенным председателем комиссии, и о предложениях по их устранению. На основании служебных записок начальником отдела внутренней безопасности в течение 10 дней пишется общий отчет. В нем перечисляются все выявленные недостатки и нарушения действующих локальных и иных нормативно-правовых актов; к нему прилагаются фотографии, на которых зафиксированы факты нарушений с указанием даты и времени; а также предложения с рекомендациями по проведению мероприятий, направленных на устранение выявленных недочетов.

В резолютивной части отчета делается вывод об оценке состояния безопасности проверяемого торгового объекта на момент проведения аудита с выставлением следующих оценок: «отлично», «хорошо», «удовлетворительно», «неудовлетворительно». После составления отчета, подписанного всеми членами комиссии по проведению комплексного аудита безопасности, начальник отдела внутренней безопасности направляет его для ознакомления и утверждения руководителю службы безопасности торговой компании, который, в свою очередь, рассылает его по электронной почте следующим должностным лицам: генеральному директору торговой компании; директорам или руководителям структурных подразделений торговой компании; сотрудникам службы безопасности торговой компании; директорам (управляющим) торговых объектов сети; руководителям подразделений службы безопасности торговых объектов. Если по итогам проведения комплексного аудита безопасности торгового объекта выставлена оценка «неудовлетворительно», директор по персоналу торговой компании обязан назначить внеплановые аттестации руководителя подразделения службы безопасности и директора (управляющего) проверенного торгового объекта в целях определения соответствия указанных должностных лиц занимаемой должности.

Оценка, выставленная комиссией по проведению комплексного аудита безопасности торгового объекта, должна учитываться при очередной аттестации директора соответству ющего торгового объекта и руководителя подразделения службы безопасности.

Реакция ответственных должностных лиц торговой организации на результаты комплексного аудита безопасности
Получив отчет о результатах аудита, директор проверенного торгового объекта, а также руководители структурных подразделений торговой организации, от которых зависит решение вопросов по устранению выявленных недостатков и то, какие меры по недопущению их в будущем будут приняты, должны в течение семи рабочих дней с момента получения письма отчитаться о своих действиях по устранению выявленных недочетов, направив ответы на электронные адреса всех должностных лиц, которые были включены в число адресатов при отправке первоначального отчета.

В комментариях на отчет о проведении комплексного аудита безопасности заинтересованные должностные лица должны проинформировать о мерах, которые будут приняты для ликвидации допущенных недостатков, с указанием сроков исполнения.

Исправление недостатков, выявленных в ходе проведения комплексного аудита безопасности гипермаркета, и принятие решений по результатам этой проверки
Через 30 календарных дней после получения комментариев на отчет о комплексном аудите безопасности начальник регионального сектора службы безопасности (региональный менеджер по безопасности) осуществляет проверку устранения недостатков, выявленных в ходе проведения комплексного аудита безопасности, по результатам которой составляется служебная записка на имя руководителя службы безопасности торговой компании.

Если нарушения и недостатки, выявленные в ходе проведения комплексного аудита безопасности, не устранены или устранены в неполном объеме, руководитель службы безопасности торговой компании вправе вызвать ответственных должностных лиц для заслушивания на очередное совещание руководителей структурных подразделений торговой компании (топ-менеджеров) при генеральном директоре либо на специально назначенное по этому поводу совещание. По результатам заслушивания совещанием должно быть принято организационное решение о необходимых мерах по устранению недостатков, а в отношении виновных лиц могут быть применены меры дисциплинарного воздействия.

Источник

Оцените статью
© 2024 Идеи для бизнеса