Wprowadzenie
W wielu organizacjach pojawia się praktyczne pytanie: czy Pełnomocnik ds. cyberbezpieczeństwa może jednocześnie pełnić funkcję audytora wewnętrznego albo wykonywać audyty wewnętrzne w obszarze, który sam koordynuje?
Odpowiedź wymaga rozróżnienia dwóch ról. Pełnomocnik ds. cyberbezpieczeństwa wspiera organizację w zarządzaniu bezpieczeństwem informacji i cyberbezpieczeństwem. Może koordynować działania, przygotowywać dokumentację, wspierać analizę ryzyka, nadzorować obsługę incydentów, raportować do kierownictwa i wspierać działania doskonalące.
Audytor wewnętrzny pełni inną funkcję. Jego zadaniem jest niezależna i obiektywna ocena, czy system działa skutecznie, czy spełnia wymagania, czy przyjęte mechanizmy nadzoru są adekwatne oraz czy dowody potwierdzają rzeczywiste funkcjonowanie systemu.
Problem pojawia się wtedy, gdy ta sama osoba lub ten sam zespół najpierw uczestniczy w projektowaniu, wdrażaniu, utrzymywaniu lub nadzorowaniu systemu cyberbezpieczeństwa, a następnie ma niezależnie oceniać skuteczność własnych działań. W takim modelu powstaje ryzyko konfliktu interesów i samooceny własnej pracy.
Najkrócej: Pełnomocnik ds. cyberbezpieczeństwa wspiera i koordynuje system, natomiast audytor wewnętrzny powinien niezależnie oceniać jego zgodność, skuteczność i adekwatność.
Rola Pełnomocnika ds. cyberbezpieczeństwa
Pełnomocnik ds. cyberbezpieczeństwa nie jest wyłącznie funkcją techniczną ani administracyjną. W praktyce jest to rola koordynacyjna, doradcza i nadzorcza, wspierająca kierownictwo w zarządzaniu bezpieczeństwem informacji, cyberbezpieczeństwem oraz ryzykiem związanym z systemami informacyjnymi.
Pełnomocnik może działać jako osoba wyznaczona wewnątrz organizacji albo jako funkcja realizowana przez zewnętrznego specjalistę lub zespół specjalistów. W obu przypadkach powinien mieć jasno określony zakres zadań, umocowanie, kanał raportowania oraz granice odpowiedzialności.
Zakres zadań Pełnomocnika ds. cyberbezpieczeństwa może obejmować w szczególności:
| Obszar | Przykładowy zakres działań |
|---|---|
| Zarządzanie cyberbezpieczeństwem | koordynacja działań, harmonogramy, rekomendacje, raportowanie do kierownictwa |
| System zarządzania bezpieczeństwem informacji | opracowanie, aktualizacja i utrzymanie dokumentacji SZBI |
| Ryzyko | identyfikacja aktywów, analiza ryzyka, plan postępowania z ryzykiem, monitorowanie ryzyk |
| Incydenty | klasyfikacja zdarzeń, wsparcie obsługi incydentów, dokumentowanie i rekomendacje działań korygujących |
| KSC/NIS2 | wsparcie w realizacji obowiązków organizacyjnych, dokumentacyjnych, sprawozdawczych i nadzorczych |
| Dostawcy ICT | wymagania bezpieczeństwa, ocena dostawców, zapisy umowne i monitorowanie usług |
| Ciągłość działania | powiązanie cyberbezpieczeństwa z BIA, planami ciągłości działania, odtwarzaniem i kopiami zapasowymi |
| Szkolenia i świadomość | podnoszenie świadomości pracowników, kadry zarządzającej i administratorów |
| Przygotowanie do audytu | porządkowanie dowodów, przegląd dokumentacji, wsparcie audytowanego |
Taki zakres powoduje, że Pełnomocnik ds. cyberbezpieczeństwa staje się istotnym uczestnikiem systemu zarządzania. To nie jest rola zewnętrzna wobec systemu. Pełnomocnik współtworzy, koordynuje albo nadzoruje elementy, które następnie powinny być oceniane w audycie wewnętrznym.
Z tego powodu należy rozdzielić funkcję wsparcia i koordynacji od funkcji niezależnej oceny.
Rola audytora wewnętrznego
Audytor wewnętrzny nie powinien być traktowany jako osoba, która jedynie sprawdza kompletność dokumentacji. Jego rolą jest dostarczenie kierownictwu obiektywnej informacji, czy system działa, czy spełnia wymagania i czy dowody potwierdzają rzeczywiste funkcjonowanie przyjętych mechanizmów.
W systemach zarządzania, takich jak ISO/IEC 27001 oraz ISO 22301, audyt wewnętrzny jest jednym z podstawowych mechanizmów nadzoru. Ma potwierdzić, czy organizacja nie tylko posiada polityki, procedury i rejestry, ale rzeczywiście stosuje przyjęte zasady, zarządza ryzykiem, reaguje na incydenty, prowadzi działania korygujące i doskonali system.
W przypadku organizacji utrzymujących system zarządzania bezpieczeństwem informacji zgodny z ISO/IEC 27001 Pełnomocnik ds. cyberbezpieczeństwa może uczestniczyć w działaniach związanych z analizą ryzyka, doborem zabezpieczeń, obsługą incydentów, nadzorem nad dostawcami ICT oraz doskonaleniem systemu. Są to elementy istotne także z perspektywy cyberbezpieczeństwa, ale nadal pozostają częścią szerszego systemu zarządzania bezpieczeństwem informacji. Jeżeli pełnomocnik uczestniczy w ich opracowaniu, utrzymaniu albo nadzorze, nie powinien następnie samodzielnie audytować tych samych obszarów.
Audytor wewnętrzny powinien być niezależny od obszaru, który audytuje. Niezależność nie oznacza wyłącznie braku zatrudnienia w danej organizacji. Oznacza przede wszystkim brak odpowiedzialności za zaprojektowanie, wdrożenie, utrzymywanie lub nadzorowanie audytowanego rozwiązania.
Jeżeli audytor ocenia własne rekomendacje, własną dokumentację, własne działania nadzorcze albo własny sposób koordynacji systemu, audyt przestaje być niezależną oceną. Staje się mechanizmem samooceny.
Audyt wewnętrzny powinien oceniać również funkcję pełnomocnika
W prawidłowo zaprojektowanym programie audytu wewnętrznego warto objąć oceną również funkcjonowanie Pełnomocnika ds. cyberbezpieczeństwa, jeżeli rola ta stanowi istotny element systemu zarządzania bezpieczeństwem informacji lub cyberbezpieczeństwem.
Nie chodzi o personalną ocenę osoby pełniącej funkcję pełnomocnika. Chodzi o ocenę, czy funkcja została prawidłowo ustanowiona, umocowana, realizowana, dokumentowana i nadzorowana.
Audyt powinien ocenić w szczególności, czy:
-
zakres zadań Pełnomocnika ds. cyberbezpieczeństwa został jednoznacznie określony;
-
pełnomocnik posiada odpowiednie umocowanie do koordynowania działań i pozyskiwania informacji;
-
pełnomocnik raportuje do właściwego poziomu kierownictwa;
-
rekomendacje pełnomocnika są dokumentowane i monitorowane;
-
działania pełnomocnika są powiązane z analizą ryzyka, obsługą incydentów, ciągłością działania i nadzorem nad dostawcami;
-
kierownictwo otrzymuje informacje wystarczające do podejmowania decyzji;
-
pełnomocnik wspiera odpowiedzialność kierownictwa, ale jej nie zastępuje;
-
nie występuje konflikt interesów między rolą pełnomocnika a rolą audytora wewnętrznego.
To ma zasadnicze znaczenie dla bezstronności. Jeżeli audyt wewnętrzny ma ocenić także skuteczność funkcji pełnomocnika, to pełnomocnik nie może być jednocześnie audytorem tego obszaru. W przeciwnym razie oceniałby własne działania, własne rekomendacje, własne raportowanie i własną skuteczność.
Konflikt interesów – istota problemu
Konflikt interesów występuje wtedy, gdy jedna osoba, zespół albo wykonawca łączy role, które mogą wpływać na obiektywizm oceny. W omawianym przypadku chodzi o sytuację, w której Pełnomocnik ds. cyberbezpieczeństwa najpierw wspiera organizację w zakresie cyberbezpieczeństwa, a następnie jako audytor wewnętrzny ocenia skuteczność działań, które sam projektował, wdrażał, rekomendował, koordynował albo nadzorował.
Najczęściej jest to konflikt typu self-review threat, czyli ryzyko samooceny własnej pracy.
Konflikt interesów może mieć trzy postacie:
| Rodzaj konfliktu | Znaczenie praktyczne |
|---|---|
| Konflikt rzeczywisty | pełnomocnik faktycznie audytuje obszar, który sam projektował, wdrażał, koordynował lub nadzorował |
| Konflikt potencjalny | istnieją okoliczności, które mogą wpływać na niezależność audytora |
| Konflikt postrzegany | z perspektywy kierownictwa, organu, jednostki certyfikującej lub interesariuszy audyt może wyglądać na nieobiektywny |
W audycie znaczenie ma nie tylko faktyczna stronniczość. Znaczenie ma również możliwość zakwestionowania bezstronności. Raport audytowy ma być dowodem niezależnej oceny, a nie potwierdzeniem prawidłowości wcześniejszych działań osoby, która sama je realizowała.
Case: pełnomocnik jako audytor wewnętrzny
Rozważmy typową sytuację.
Organizacja wyznacza Pełnomocnika ds. cyberbezpieczeństwa. Pełnomocnik:
-
opracowuje lub aktualizuje dokumentację bezpieczeństwa informacji;
-
wspiera analizę ryzyka;
-
rekomenduje zabezpieczenia;
-
koordynuje działania związane z incydentami;
-
monitoruje realizację rekomendacji;
-
przygotowuje raporty dla kierownictwa;
-
przygotowuje organizację do audytu.
Następnie ta sama osoba albo ten sam zespół ma przeprowadzić audyt wewnętrzny systemu zarządzania bezpieczeństwem informacji albo obszaru cyberbezpieczeństwa.
Na poziomie organizacyjnym może wydawać się to wygodne. Pełnomocnik zna organizację, dokumentację, systemy, ryzyka i historię działań. Jednak z punktu widzenia audytu jest to układ problematyczny. Audytor oceniałby rozwiązania, które sam opracował, rekomendował albo nadzorował.
Sytuacja jest jeszcze bardziej problematyczna, gdy audyt obejmuje ocenę funkcji Pełnomocnika ds. cyberbezpieczeństwa. Wtedy pełnomocnik oceniałby nie tylko system, ale również własną rolę w tym systemie, własne raportowanie, własną skuteczność koordynacyjną i własny sposób nadzoru.
Taki raport nie daje kierownictwu w pełni niezależnej informacji o stanie systemu. Może mieć ograniczoną wartość dowodową i zostać zakwestionowany jako obarczony konfliktem interesów.
Jedna osoba, jeden zespół albo jedna umowa
Konflikt interesów może powstać zarówno wtedy, gdy funkcje łączy jedna osoba, jak i wtedy, gdy robi to jeden zespół lub ten sam wykonawca w ramach jednej umowy.
Sama jedna umowa nie przesądza automatycznie o nieważności świadczenia ani o tym, że konflikt interesów zawsze wystąpi. Może jednak stanowić silny sygnał ryzyka, jeżeli nie rozdziela jednoznacznie ról, zespołów, odpowiedzialności, zasad raportowania i zabezpieczeń bezstronności.
Ocena powinna być następująca:
| Model | Ocena ryzyka |
|---|---|
| Ta sama osoba pełni funkcję pełnomocnika i audytora wewnętrznego | konflikt interesów i brak bezstronności |
| Ten sam zespół wykonuje zadania pełnomocnika i audyt | bardzo wysokie ryzyko konfliktu interesów |
| Ten sam wykonawca, ale odrębny zespół audytowy niezaangażowany w działania pełnomocnika | możliwe warunkowo, po udokumentowaniu bezstronności |
| Odrębny pełnomocnik i odrębny niezależny audytor wewnętrzny | model najbezpieczniejszy dowodowo i organizacyjnie |
Jeżeli pełnomocnik i audytor wewnętrzny są wskazani w tej samej umowie albo realizowani przez tego samego wykonawcę, kierownictwo powinno wymagać wykazania, że audytorzy nie uczestniczyli w projektowaniu, wdrożeniu, aktualizacji, utrzymaniu ani nadzorze nad audytowanym obszarem.
Znaczenie prawne przy KSC
W przypadku KSC problem konfliktu interesów ma szczególne znaczenie. Nie jest to wyłącznie kwestia dobrej praktyki audytowej, ale również wymóg wynikający z przepisów prawa.
KSC przewiduje, że podmiot kluczowy albo ważny może realizować określone zadania z zakresu cyberbezpieczeństwa przez wewnętrzne struktury albo przez umowę z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa. Zewnętrzny model wsparcia jest więc co do zasady dopuszczalny.
Należy jednak odróżnić obowiązek cyklicznego audytu podmiotu kluczowego od audytu zewnętrznego nakazywanego decyzją organu. Podmiot kluczowy przeprowadza co najmniej raz na 3 lata audyt bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi. Natomiast wobec podmiotu ważnego organ właściwy do spraw cyberbezpieczeństwa może nakazać przeprowadzenie zewnętrznego audytu w przypadku wystąpienia incydentu poważnego lub innego naruszenia przepisów ustawy.
Przepisy KSC przewidują również wyłączenie osoby, która realizuje w audytowanym podmiocie określone zadania z zakresu cyberbezpieczeństwa albo realizowała je w okresie roku przed rozpoczęciem audytu.
W praktyce oznacza to, że osoba pełniąca funkcję Pełnomocnika ds. cyberbezpieczeństwa i wykonująca zadania związane z SZBI, obsługą incydentów, analizą ryzyka, raportowaniem, dokumentacją lub innymi obowiązkami KSC, nie powinna być wskazywana jako audytor KSC tego samego podmiotu.
W tym przypadku nie wystarczy formalne rozdzielenie nazw funkcji. Decydujące znaczenie ma faktyczny zakres wykonywanych czynności.
Znaczenie przy ISO/IEC 27001 i ISO 22301
Przy ISO/IEC 27001 oraz ISO 22301 konflikt interesów ma przede wszystkim znaczenie audytowe, certyfikacyjne i dowodowe.
Audyt wewnętrzny ma potwierdzić, czy system jest zgodny z wymaganiami, skutecznie wdrożony i utrzymywany. Jeżeli audyt prowadzi osoba, która wcześniej przygotowywała dokumentację, prowadziła analizę ryzyka, rekomendowała zabezpieczenia, uczestniczyła w działaniach doskonalących albo nadzorowała wdrożenie, trudno mówić o pełnej obiektywności.
W audycie certyfikacyjnym albo nadzorczym jednostka certyfikująca może zakwestionować audyt wewnętrzny, jeżeli organizacja nie zapewniła obiektywności i bezstronności procesu. Skutkiem może być niezgodność, konieczność ponownego przeprowadzenia audytu albo zakwestionowanie skuteczności programu audytów.
Pełnomocnik ds. cyberbezpieczeństwa może przygotować organizację do audytu, uporządkować dokumentację, wskazać wymagane dowody, uczestniczyć w audycie jako audytowany, wyjaśniać przyjęte rozwiązania i koordynować działania poaudytowe. Nie powinien jednak audytować własnych działań, własnych rekomendacji, własnego nadzoru nad systemem ani własnej skuteczności jako pełnomocnika.
Ujęcie cywilnoprawne konfliktu interesów
Kodeks cywilny nie zawiera jednej ogólnej definicji konfliktu interesów dla wszystkich umów cywilnoprawnych. Nie oznacza to jednak, że konflikt interesów jest obojętny z punktu widzenia prawa cywilnego.
W przypadku umowy obejmującej audyt wewnętrzny kluczowe znaczenie ma cel i charakter świadczenia. Audyt ma dostarczyć zamawiającemu rzetelnej, obiektywnej i możliwie niezależnej oceny określonego obszaru. Jeżeli audytor ocenia własną pracę wykonaną wcześniej jako Pełnomocnik ds. cyberbezpieczeństwa, powstaje pytanie, czy usługa audytowa została wykonana zgodnie z jej właściwym celem.
Problem nie polega więc przede wszystkim na tym, że samo połączenie funkcji pełnomocnika i audytora wewnętrznego w jednej umowie automatycznie powoduje nieważność umowy. Istotne jest to, czy wykonawca rzeczywiście dostarcza zamawiającemu świadczenie o cechach, których można oczekiwać od audytu: obiektywność, rzetelność, bezstronność i przydatność dowodową raportu.
Jeżeli audytor ocenia obszary, które wcześniej sam projektował, wdrażał, rekomendował albo nadzorował, raport może nie realizować celu gospodarczego, dla którego audyt został zamówiony. W takim przypadku audyt obarczony konfliktem interesów może być traktowany nie tylko jako problem etyczny lub organizacyjny, ale również jako problem jakości wykonania zobowiązania.
Znaczenie ma również należyta staranność profesjonalisty. Od wykonawcy świadczącego zawodowo usługi z zakresu cyberbezpieczeństwa, audytu, SZBI lub ciągłości działania należy oczekiwać, że rozpozna ryzyko konfliktu interesów, poinformuje o nim zamawiającego i zaproponuje sposób zapewnienia bezstronności audytu.
Brak rozdzielenia funkcji Pełnomocnika ds. cyberbezpieczeństwa i audytora wewnętrznego może być oceniany jako nienależyte wykonanie zobowiązania, zwłaszcza jeżeli:
-
zamawiający oczekiwał niezależnego audytu;
-
wykonawca nie ujawnił ryzyka konfliktu interesów;
-
audytor oceniał obszary, które sam projektował, wdrażał, rekomendował albo nadzorował;
-
audytor oceniał skuteczność funkcji pełnomocnika, którą sam wykonywał;
-
raport został zakwestionowany przez kierownictwo, organ, audytora zewnętrznego albo jednostkę certyfikującą;
-
zamawiający poniósł szkodę, np. koszt ponownego audytu, opóźnienie certyfikacji albo utratę wartości dowodowej raportu.
Warto również zauważyć, że Kodeks cywilny zna konstrukcje ograniczające działanie jednej osoby w dwóch potencjalnie sprzecznych rolach. Przykładem jest zakaz dokonywania przez pełnomocnika czynności prawnej „z samym sobą”, chyba że wynika to z treści pełnomocnictwa albo wyłączona jest możliwość naruszenia interesów mocodawcy. Nie jest to przepis bezpośrednio regulujący audyt wewnętrzny, ale pokazuje ogólną logikę ostrożności przy łączeniu ról, w których jedna osoba mogłaby działać w warunkach sprzeczności interesów.
Dlatego w relacji Pełnomocnik ds. cyberbezpieczeństwa – audytor wewnętrzny najbezpieczniejsze cywilnoprawnie jest takie ukształtowanie umowy i sposobu jej wykonania, aby audytor nie oceniał własnej pracy, własnych rekomendacji, własnego nadzoru ani własnej skuteczności jako pełnomocnika.
Konflikt interesów jako wada rezultatu audytu
Raport audytowy jest rezultatem usługi audytowej. Jeżeli raport został sporządzony przez osobę niebezstronną albo objętą konfliktem interesów, jego problemem nie musi być wyłącznie treść merytoryczna. Wadliwa może być sama podstawa jego sporządzenia.
Raport może zawierać poprawne opisy, tabele i ustalenia, ale mimo to nie spełniać funkcji niezależnego dowodu. W szczególności może nie nadawać się do:
-
wykazania skuteczności audytu wewnętrznego;
-
potwierdzenia niezależnej oceny SZBI;
-
potwierdzenia niezależnej oceny funkcji Pełnomocnika ds. cyberbezpieczeństwa;
-
przedstawienia jako wiarygodny dowód dla kierownictwa;
-
wykorzystania w audycie certyfikacyjnym;
-
przedstawienia organowi jako dowód prawidłowego wykonania obowiązku audytowego;
-
obrony decyzji zarządczych opartych na wynikach audytu.
Z tego powodu konflikt interesów powinien być traktowany jako ryzyko jakościowe, prawne i dowodowe. Nie jest to wyłącznie kwestia formalnego oświadczenia audytora. Decydujące znaczenie ma rzeczywisty brak udziału audytora w audytowanych działaniach oraz brak oceny własnej roli w systemie.
Wysokie ryzyko dla naczelnego kierownictwa
Łączenie funkcji Pełnomocnika ds. cyberbezpieczeństwa i audytora wewnętrznego tego samego obszaru powinno być traktowane jako wysokie ryzyko dla naczelnego kierownictwa.
Kierownictwo odpowiada za zapewnienie nadzoru nad systemem, za przyjęcie właściwego modelu organizacyjnego oraz za wiarygodność informacji, na podstawie których podejmuje decyzje. Jeżeli audyt jest obarczony konfliktem interesów, kierownictwo może otrzymać raport, który nie daje niezależnego obrazu sytuacji.
Ryzyka dla kierownictwa obejmują:
| Obszar ryzyka | Znaczenie |
|---|---|
| Ryzyko prawne | możliwość zakwestionowania wykonania obowiązku audytowego, szczególnie przy KSC |
| Ryzyko nadzorcze | zarzut braku skutecznego nadzoru nad cyberbezpieczeństwem |
| Ryzyko osobiste | możliwość odpowiedzialności kierownika podmiotu za niewykonanie lub nienależyte wykonanie obowiązków |
| Ryzyko certyfikacyjne | zakwestionowanie audytu wewnętrznego przez jednostkę certyfikującą |
| Ryzyko dowodowe | raport może nie stanowić wiarygodnego dowodu niezależnej oceny |
| Ryzyko finansowe | koszt ponownego audytu, działań naprawczych albo opóźnień |
| Ryzyko reputacyjne | utrata wiarygodności wobec organu, klientów, jednostki certyfikującej lub interesariuszy |
Kierownictwo nie powinno przyjmować założenia, że skoro audyt został formalnie wykonany, to obowiązek nadzorczy został prawidłowo zrealizowany. Istotne jest również to, kto audyt wykonał, czy audytor był bezstronny oraz czy raport może być wykorzystany jako wiarygodny dowód zarządczy.
Co powinno zrobić naczelne kierownictwo?
Naczelne kierownictwo nie powinno ograniczać się do formalnego wyznaczenia Pełnomocnika ds. cyberbezpieczeństwa albo formalnego przyjęcia raportu z audytu. Jego obowiązkiem zarządczym jest zapewnienie, że model organizacyjny cyberbezpieczeństwa jest skuteczny, odpowiedzialności są jednoznacznie określone, a audyt dostarcza rzeczywiście niezależnej informacji o stanie systemu.
W praktyce naczelne kierownictwo powinno:
-
jednoznacznie określić rolę Pełnomocnika ds. cyberbezpieczeństwa;
-
rozdzielić funkcję wsparcia od funkcji niezależnej oceny;
-
zweryfikować, czy pełnomocnik nie pełni jednocześnie roli audytora wewnętrznego w swoim obszarze;
-
wymagać analizy konfliktu interesów przed audytem;
-
zapewnić niezależną ocenę pracy pełnomocnika;
-
zatwierdzić program audytu i kryteria oceny;
-
wymagać raportowania bezpośrednio do kierownictwa;
-
podjąć decyzje po audycie;
-
udokumentować nadzór;
-
w razie wątpliwości zlecić audyt niezależnemu audytorowi lub niezależnemu zespołowi.
Samo przyjęcie raportu z audytu nie wystarcza. Kierownictwo powinno ustalić, które ustalenia wymagają działań natychmiastowych, kto odpowiada za ich realizację, jaki jest termin wykonania, jakie dowody potwierdzą wykonanie i kiedy nastąpi weryfikacja skuteczności.
Dla celów dowodowych kierownictwo powinno posiadać dokumentację potwierdzającą, że rzeczywiście nadzoruje cyberbezpieczeństwo i audyty. Dowodami mogą być w szczególności: zatwierdzony zakres zadań pełnomocnika, analiza konfliktu interesów, oświadczenia audytorów o bezstronności, program audytu, plan audytu, raport z audytu, decyzje kierownictwa, rejestr działań korygujących oraz dowody wykonania działań.
Szczególne znaczenie w administracji publicznej, samorządowej
W administracji publicznej samorządowej ryzyko łączenia funkcji Pełnomocnika ds. cyberbezpieczeństwa i audytora wewnętrznego ma szczególne znaczenie. Jednostka samorządu terytorialnego działa w reżimie prawa publicznego, gospodaruje środkami publicznymi, realizuje zadania publiczne i podlega kontroli wewnętrznej oraz zewnętrznej. Dlatego audyt cyberbezpieczeństwa nie powinien być traktowany jako czynność wyłącznie techniczna albo formalna.
W przypadku urzędu gminy, starostwa powiatowego, urzędu marszałkowskiego albo jednostki organizacyjnej samorządu problem konfliktu interesów może wpływać na kilka obszarów jednocześnie:
-
prawidłowość kontroli zarządczej;
-
skuteczność nadzoru kierownictwa;
-
gospodarowanie środkami publicznymi;
-
rzetelność zamówienia publicznego lub zamówienia podprogowego;
-
wiarygodność raportu z audytu;
-
ocenę pracy zewnętrznego wykonawcy;
-
odpowiedzialność kierownika jednostki;
-
zaufanie mieszkańców i organów nadzoru do sposobu zarządzania cyberbezpieczeństwem.
W jednostce samorządu terytorialnego audyt powinien być powiązany z kontrolą zarządczą. Cyberbezpieczeństwo jest elementem ochrony zasobów, zarządzania ryzykiem, zgodności z prawem, skuteczności działania i zapewnienia ciągłości realizacji zadań publicznych. Jeżeli audyt jest obarczony konfliktem interesów, kierownik jednostki może nie otrzymać obiektywnej informacji o tym, czy system faktycznie działa, czy tylko został formalnie opisany w dokumentacji.
W administracji samorządowej należy również uwzględnić szczególny status podmiotów publicznych w KSC. Podmiot publiczny realizuje obowiązki z zakresu cyberbezpieczeństwa, jeżeli wykorzystuje system informacyjny w celu realizacji zadania publicznego. Jednostka samorządu terytorialnego może zapewnić wspólną obsługę realizacji tych obowiązków albo zawrzeć porozumienie z inną JST w sprawie powierzenia ich realizacji. Taki model organizacyjny może być racjonalny, ale nie znosi potrzeby zapewnienia niezależności audytu i rozdzielenia funkcji wsparcia od funkcji oceny.
W samorządzie nie wystarczy stwierdzić, że „audyt został wykonany”. Istotne jest, czy audyt był wykonany przez osobę lub zespół zdolny do niezależnej oceny. Jeżeli audytor oceniał własną pracę albo pracę zespołu, którego jest częścią, raport może mieć ograniczoną wartość dowodową dla kontroli zarządczej i nadzoru kierownictwa.
Administracja samorządowa a zamówienia publiczne
Jeżeli funkcja Pełnomocnika ds. cyberbezpieczeństwa oraz audyt wewnętrzny są zamawiane przez jednostkę samorządu terytorialnego, należy dodatkowo uwzględnić reżim zamówień publicznych albo regulamin zamówień podprogowych.
W zamówieniach publicznych konflikt interesów należy oceniać zarówno po stronie osób wykonujących czynności w postępowaniu po stronie zamawiającego, jak i po stronie wykonawcy, jeżeli wcześniejsze zaangażowanie wykonawcy może zakłócić uczciwą konkurencję albo prowadzić do sytuacji, w której wykonawca będzie oceniał własne wcześniejsze działania.
W praktyce samorząd powinien sprawdzić:
-
czy wykonawca pełniący funkcję pełnomocnika nie przygotowywał opisu przedmiotu zamówienia na audyt w sposób korzystny dla siebie;
-
czy nie miał przewagi informacyjnej nad innymi wykonawcami;
-
czy nie wpływał na kryteria oceny ofert;
-
czy osoby uczestniczące w przygotowaniu lub prowadzeniu postępowania nie pozostają w konflikcie interesów;
-
czy zamówienie nie prowadzi do sytuacji, w której wykonawca będzie oceniał własne wcześniejsze działania;
-
czy dokumentacja zamówienia przewiduje wymóg niezależności audytora;
-
czy raport z audytu będzie mógł zostać wykorzystany jako wiarygodny dowód w kontroli zarządczej.
W przypadku zamówień podprogowych analogiczna ocena powinna wynikać z regulaminu wewnętrznego, zasad kontroli zarządczej oraz obowiązku rzetelnego, celowego i oszczędnego gospodarowania środkami publicznymi.
Wspólna obsługa cyberbezpieczeństwa w samorządzie
W samorządzie możliwe są modele wspólnej obsługi lub powierzenia realizacji określonych obowiązków jednej jednostce albo innemu podmiotowi organizacyjnemu. Może to mieć znaczenie zwłaszcza w powiatach, związkach JST, centrach usług wspólnych, jednostkach oświatowych, domach pomocy społecznej, zarządach dróg, jednostkach kultury albo innych jednostkach organizacyjnych korzystających ze wspólnego wsparcia IT lub cyberbezpieczeństwa.
Taki model może być organizacyjnie uzasadniony, ale nie usuwa problemu niezależności audytu. Jeżeli ta sama jednostka obsługująca albo ten sam zewnętrzny wykonawca odpowiada za bieżące wsparcie cyberbezpieczeństwa wielu jednostek, audyt tych działań powinien być prowadzony przez osoby niezależne od tej obsługi.
W praktyce oznacza to, że:
-
wspólna obsługa może wspierać cyberbezpieczeństwo;
-
pełnomocnik może koordynować działania dla kilku jednostek;
-
jedna jednostka może zapewniać wsparcie organizacyjne lub techniczne;
-
audyt powinien być prowadzony przez niezależnego audytora;
-
audyt powinien obejmować również ocenę skuteczności wspólnej obsługi i funkcji pełnomocnika;
-
raport powinien trafić do właściwego kierownictwa jednostki albo organu odpowiedzialnego za nadzór.
W administracji samorządowej szczególnie ważne jest, aby nie tworzyć pozornej niezależności. Formalnie inna nazwa zadania, inny etap umowy albo oddzielny raport nie wystarczą, jeżeli faktycznie audytor ocenia własną pracę, własne rekomendacje albo własny model nadzoru.
Co powinien zrobić samorząd?
W jednostce samorządu terytorialnego kierownictwo powinno potraktować ten obszar jako element kontroli zarządczej i zarządzania ryzykiem. W szczególności powinno:
-
zweryfikować, czy Pełnomocnik ds. cyberbezpieczeństwa nie pełni jednocześnie funkcji audytora wewnętrznego własnych działań;
-
rozdzielić osobowo i organizacyjnie funkcję pełnomocnika od funkcji audytora;
-
zapewnić, aby audyt obejmował również ocenę skuteczności funkcji pełnomocnika;
-
wymagać od audytorów oświadczeń o bezstronności;
-
udokumentować analizę konfliktu interesów;
-
zapewnić bezpośrednie raportowanie wyników audytu do kierownika jednostki lub właściwego organu;
-
powiązać wyniki audytu z oceną kontroli zarządczej;
-
monitorować wykonanie działań korygujących;
-
zapewnić, aby zamówienie publiczne lub podprogowe nie premiowało wykonawcy, który ma oceniać własne wcześniejsze działania;
-
w razie wątpliwości zlecić audyt niezależnemu podmiotowi.
Dla administracji samorządowej najbezpieczniejsze stanowisko brzmi: pełnomocnik może wspierać urząd lub jednostkę organizacyjną w cyberbezpieczeństwie, ale audytor wewnętrzny powinien niezależnie oceniać zarówno system, jak i jakość pracy pełnomocnika. Połączenie tych funkcji bez realnego rozdzielenia osób, zespołów i odpowiedzialności należy traktować jako wysokie ryzyko dla kierownika jednostki, kontroli zarządczej i wiarygodności wydatkowania środków publicznych.
Kiedy łączenie funkcji może być dopuszczalne?
Łączenie funkcji Pełnomocnika ds. cyberbezpieczeństwa i audytora wewnętrznego może być rozważane wyłącznie warunkowo i tylko w zakresie, w którym audytor nie ocenia własnej pracy.
Minimalne zabezpieczenia powinny obejmować:
-
Rozdzielenie osób
Audyt prowadzą osoby, które nie uczestniczyły w projektowaniu, wdrażaniu, utrzymaniu ani nadzorze nad audytowanym obszarem. -
Rozdzielenie zespołów
Zespół pełnomocnika nie może być tym samym zespołem, który prowadzi audyt danego obszaru. -
Deklarację bezstronności
Każdy audytor powinien złożyć oświadczenie o braku konfliktu interesów oraz o tym, że nie audytuje własnej pracy. -
Udokumentowaną analizę konfliktu interesów
Przed audytem należy ocenić, czy audytorzy nie byli zaangażowani w audytowane działania. -
Wyłączenia z audytu
Obszary wdrażane lub nadzorowane przez pełnomocnika powinny być audytowane przez osobę niezależną od tego wdrożenia lub nadzoru. -
Niezależną ocenę funkcji pełnomocnika
Jeżeli audyt obejmuje ocenę pracy Pełnomocnika ds. cyberbezpieczeństwa, oceny tej nie może wykonywać sam pełnomocnik ani osoby bezpośrednio zaangażowane w realizację tej funkcji. -
Raportowanie do kierownictwa
Audytor powinien raportować bezpośrednio do naczelnego kierownictwa, a nie do osoby odpowiedzialnej za utrzymanie systemu. -
Szczególne wyłączenia przy KSC
Przy audycie KSC należy sprawdzić ustawowe przesłanki wyłączenia audytora, w szczególności wcześniejszą realizację zadań w audytowanym podmiocie.
Jeżeli tych zabezpieczeń nie ma, łączenie funkcji pełnomocnika i audytora wewnętrznego należy traktować jako obarczone wysokim ryzykiem.
Rekomendowany model
Najbezpieczniejszy model organizacyjny wygląda następująco:
| Funkcja | Rekomendowany wykonawca | Uzasadnienie |
|---|---|---|
| Pełnomocnik ds. cyberbezpieczeństwa | wyznaczona osoba, zespół wewnętrzny lub zewnętrzny specjalista | bieżące wsparcie, koordynacja, utrzymanie systemu |
| Odpowiedzialność za decyzje | naczelne kierownictwo | odpowiedzialność nie jest przenoszona na pełnomocnika |
| Audytor wewnętrzny | niezależny audytor lub niezależny zespół | zapewnienie obiektywności i wartości dowodowej |
| Ocena funkcji pełnomocnika | audytor niezależny od funkcji pełnomocnika | ocena skuteczności roli pełnomocnika bez samooceny |
| Audyt KSC | osoby lub podmioty spełniające wymagania ustawowe | konieczność uwzględnienia ustawowych wyłączeń |
| Działania poaudytowe | organizacja przy wsparciu pełnomocnika | pełnomocnik może koordynować działania naprawcze |
Taki podział zapewnia przejrzystość ról, ogranicza ryzyko konfliktu interesów i wzmacnia wartość dowodową audytu.
Wniosek
Pełnomocnik ds. cyberbezpieczeństwa może być bardzo wartościowym wsparciem dla organizacji. Może porządkować dokumentację, wspierać analizę ryzyka, koordynować działania, przygotowywać organizację do wymagań KSC/NIS2, ISO/IEC 27001 i ISO 22301 oraz wzmacniać bieżący nadzór nad bezpieczeństwem informacji.
Nie powinien jednak audytować własnej pracy.
Audytor wewnętrzny powinien niezależnie oceniać system, w tym skuteczność funkcji Pełnomocnika ds. cyberbezpieczeństwa. Tym bardziej niedopuszczalne jest, aby pełnomocnik lub osoby realizujące jego zadania audytowały obszar, za który odpowiadają albo który koordynują.
Jeżeli ta sama osoba, ten sam zespół albo ten sam wykonawca łączy funkcję pełnomocnika i audytora wewnętrznego bez realnego rozdzielenia ról, powstaje konflikt interesów oraz ryzyko naruszenia bezstronności. W przypadku KSC problem może mieć dodatkowo wymiar ustawowy. W przypadku ISO/IEC 27001 i ISO 22301 ma znaczenie audytowe, certyfikacyjne i dowodowe. W prawie cywilnym może natomiast prowadzić do oceny, że usługa audytowa została wykonana nienależycie, jeżeli nie dostarcza zamawiającemu niezależnej i rzetelnej oceny.
Dla naczelnego kierownictwa jest to ryzyko wysokie. Kierownictwo odpowiada nie tylko za formalne wyznaczenie pełnomocnika i zlecenie audytu, ale również za zapewnienie, że audyt będzie bezstronny, wiarygodny i przydatny jako podstawa decyzji zarządczych.
W administracji samorządowej problem ma dodatkowy wymiar: dotyczy kontroli zarządczej, gospodarowania środkami publicznymi, rzetelności zamówienia, odpowiedzialności kierownika jednostki i zaufania publicznego. Audyt cyberbezpieczeństwa powinien być niezależnym narzędziem oceny systemu, a nie potwierdzeniem działań osoby lub wykonawcy, który wcześniej ten system współtworzył albo koordynował.
Sentencja tego artykułu:
Pełnomocnik ds. cyberbezpieczeństwa wspiera, koordynuje i utrzymuje system. Audytor wewnętrzny niezależnie ocenia jego zgodność, skuteczność i adekwatność, w tym skuteczność funkcji pełnomocnika. Połączenie tych funkcji bez realnego rozdzielenia osób, ról i odpowiedzialności należy traktować jako wysokie ryzyko konfliktu interesów.
