Kontrola i audyt są oddzielone w motywie 73, więc nie można mówić o tym, że autorzy się pomylili i wytworzyli nowy termin. Wydaje się, że to kwestia błędnego tłumaczenia, które nie oddaje istoty działania. Co najgorsze wprowadza ogromne zamieszanie, ponieważ kontrola to nie audyt, a audyt to nie kontrola. Różnicą jest cel wykonywania tych działań, choć w praktyce spotykam się z tym, że wiele osób uważa, że audyt to jest poważna sprawa, a kontrola to niepoważna, taka mało istotna. Podobnie jak zagrożenie – takie coś małego, ale ryzyko to o… to jest zagadnienie.
Na początek więc wyjaśnię – to jest podejście nieprawidłowe. Ponieważ jak napisałem już, różnica to CEL, a nie zakres czy powaga działania. O szczegółowych różnicach między kontrolą a audytem z pewnością napiszę, bo trzeba. Dziś tylko dwa zdania wprowadzenia.
- Celem kontroli jest sprawdzenie konkretnej rzeczy, działania, mechanizmu, które są mocno sprecyzowane, czy działają, są realizowane. Wyobraźmy sobie kontrolę dokumentów. Mamy wzorzec dokumentu, sprawdzamy, czy wszystko zgodne ze wzorcem i uznajemy dokument, że jest OK. A jeśli nie jest OK to dokonujemy poprawek i dokument jest zgodny z wymaganiami.
- Celem audytu jest ustalenie, czy proces, działanie zmierzające do wydania POPRAWNEGO dokumentu jest realizowane właściwie (od opisania tego, jak dokument wydajemy, przez dostarczenie nośników na których będzie wystawiony, po informacje, które są niezbędne do wystawienia). W tym przypadku kontrola dostarczy nam dowodów z audytu (stanu np. w którym zidentyfikowaliśmy, że dokument lub dokumenty badane w audycie (próba od 10% do 30%) są niezgodne i … tu zaczynamy poszukiwanie tego, co w systemie zawodzi.
Oznacza to, że:
- Kontrola jest bardziej szczegółowa i nastawiona na to, aby dokumenty były poprawne i prawidłowe.
- Audyt jest bardziej ogólnym, bada to, w jaki sposób dokument jest wydawany i celem jest poprawność procesu, którego efektem jest poprawnie wydany dokument.
W istocie cel ten sam – dokument ma być poprawny, jednak horyzont jest różny. Kontrola – tu i teraz i częsta. Audyt – ogólny, systemowy, niektórzy mówią bardziej rozmyty. Ale to nie tak. Kontrola jest działaniem dla kierownika konkretnego obszaru. Audyt dla zarządzającego całością.
Myślę, że tutaj wystarczy wprowadzenia, wszak mieliśmy zająć się “potworkiem definicyjnym” czyli KONTROLĄ AUDYTOWĄ.
Kontekst tłumaczenia
Bazując już nawet na polskim tłumaczeniu, dla specjalistów od systemów zarządzania bezpieczeństwem zagadnienie powinno być zrozumiałe. Zacytuję treść akapitu, w którym przepis się pojawił:
Podmioty finansowe dokonują regularnych przeglądów swojej strategii na rzecz ciągłości działania w zakresie ICT oraz planów reagowania i przywracania sprawności ICT, uwzględniając wyniki testów przeprowadzonych zgodnie z akapitem pierwszym oraz zalecenia wynikające z kontroli audytowych lub przeglądów nadzorczych.
Krótka analiza. Kontrola audytowa – to po angielsku audit checks. Co ciekawe, obok pojawia się tłumaczenie terminu “supervisory reviews”, które jest tłumaczone jako przeglądy nadzorcze. W całym akapicie jest mowa więc o działaniach ZARZĄDCZYCH, a więc bardziej o audycie niż kontroli (nadal rozpatrujemy potworka systemowego – kontrola audytowa).
Nie męcząc już czytelnika, każdy system wymaga przeglądów. Normy ISO nazywają to przeglądami zarządzania (nie wiem skąd przeglądy nadzorcze, bo to nie chodzi o organ, a o własne, wewnętrzne działanie w ramach funkcji zarządzania). Dane wejściowe do przeglądów zarządzania składają się z wielu elementów, ale jednym z nich funkcjonującym w organizacjach mających wdrożone systemy zgodne z ISO, ale też i takich, które realizują audyty wewnętrzne jest przegląd wyników audytów (audit checks).
Polega to na tym, że PRZED przeglądem zarządzania gromadzone są materiały związane z wynikami audytów wewnętrznych (o których mowa w DORA też jest), w tym co wykazano, co z wynikami zrobiono, czy usunięto niezgodności lub wykorzystano potencjały doskonalenia. I te dane o audytach trafiają do agendy przeglądu zarządzania. Jak widać w DORA zostały nazwane – audit checks – przeglądy audytów. Skąd komuś do głowy przyszło zrobić z tego kontrolę audytową… Cóż. Niebawem kolejne definicje niezdefiniowane.