Interviu Constantin Iordache – ANERSFR
„DEZVOLTAREA COMPETENȚELOR EVALUATORULUI DE RISC PENTRU ACTIVITĂȚI DE AUDIT DE SECURITATE ESTE BENEFICĂ Industriei de securitate”
Constantin IORDACHE,
Managing Partner, VERIFIES INTEGRITY
1. Domnule Constantin Iordache, vă propun să facem debutul interviului de astăzi, prin a ne expune pentru cititori cele mai importante repere profesionale ale carierei dvs. și de când sunteți în piața securității fizice ?
Lucrez in piata de securitate din 2005. Pana in 2015 am lucrat in cadrul unei multinationale de securitate. Dupa aceasta am infiintat Verifies Integrity, care are ca activitati principale Auditul – Consultanta de securitate si Instalare/Mentenanta sisteme de securitate. In acelasi timp in 2015 am dat startul platformei Securitate in Romania, platforma dedicata industriei de securitate. Aici promovam initiative ale asociatiilor de profil sau ale noastre. Sunt membru ASIS, mebru in juriul OSPA, de la infiintare, parte alaturi de o echipa condusa de Ion Iordache in realizarea a mai multor ghiduri de securitate.
2. Cum vedeți concurența evaluatorului care se preocupă de identificarea riscurilor de securitate fizică relevante și propune măsuri de control ale acestora prin introducerea de soluții tehnice, dotarea cu echipamente de protecție mecanică ori instituirea de servicii de pază fizică comparativ cu activitatea de auditare de securitate, care este diferența dintre aceste activități ori servicii? Interviu Constantin Iordache – ANERSFR
Evaluatorul de risc la securitate fizica este un specialist in securitate care face o „poza” de moment a masurilor de securitate dintr- o compani. Rolul lui nu este sa intre adanc in problemele de securitate fiind incorsetat de legislatie, de formatul clar, de grilele de evaluare a ce anume trebuie sa evalueze. Legislatia deasemenea este foarte clara cu ce anume poate sau nu poate sa faca evaluatorul.
Independenta este punctul comun al auditorului si evaluatorului.
Auditul de securitate nu este o cerinta legala obligatorie, in primul rand ci un element din masurile de securitate, alaturi de consultanta de securitate. Insa cele 3 sunt si trebuiesc tratate separat. In multe cazuri in cadrul evaluarii de risc, evaluatorii merg mai departe si ofera si conultanta gratuita de cele mai multe ori.
Auditul de securitate poate fi efectuat in urma unei cerinte clare a unei organizatii sau in urma inventarierii masurilor de securitate si a eficientei acestora. Auditul poate fi realizat pentru o parte din masurile de securitate. De exemplu auditul serviciilor de paza, auditul sistemelor tehnice, auditul procedurilor de securitate etc sau poate fi un audit complet care sa cuprinda toate aspectele securitatii fizice.
De cele mai multe ori in audituirle complexe lucreaza o echipa de auditori.
Auditul de securitate reprezinta o unealta utila pentru orice tip de organizatie, care trebuie folosita constant, cu repetare anuala, in vederea realizarii unor masuri eficiente de securitate.
3. Cum apreciați asocierea ori integrarea acestor activități este posibilă și mai ales este benefică clienților? Interviu Constantin Iordache – ANERSFR
Evaluatorul de risc este de regula un specialist in domeniul de securitate, si tot in marea parte a lor evaluatorii au experienta in domeniul de securitate, unii in mai multe domenii, altii doar in paza altii doar pe sisteme de securitate.
Rolul evaluatorului nu este sa faca doar o poza si sa plece, el ar putea avea un rol important in industria de securitate daca in urma evaluarilor de risc, explica clientului masurile si recomandarile si mai mult decat atat daca stabileste o relatie normala prin care acea organizatie sa apeleze la specialistul in securitate pentru sfaturi, consultanta sau audit. De cele mai multe ori insa auditorul face poza merge mai departe si il mai vede pe acel client peste 3 ani, daca clientul nu a gasit pe altcineva intre timp.
4. Din câte cunosc, aveți vastă experiență ca auditor de securitate, am dori să ne expuneți mai multe detalii tehnice despre această activitate pentru a înțelege foarte bine ceea ce produce un audit de securitate. Interviu Constantin Iordache – ANERSFR
In manualul ASIS International, Protection of Assets: Physical Security. Evaluarea riscului este definita ca „o examinare fundamentală care poate include auditarea documentației, politicilor, facilităților, tehnologiei, strategiilor de protecție, personal, instruire și alți indicatori cheie pentru a determina starea actuală a programului de securitate, cumulati în efortul de identificare a deficiențele și chiar a exceselor, pentru a face recomandări de îmbunătățire bazate pe metode dovedite.”
De fapt, procesul real de identificare a problemelor de securitate se realizeaza printr-o evaluare sistematică la fața locului. Precum și o analiză a măsurilor de securitate actuale. Indiferent dacă acestea sunt măsuri de securitate fizica, tehnologie, managementul securității, politici, instruire, rapoarte sau orice alt aspect al programului sau măsurilor de securitate.
Ca in orice audit si auditul de securitate are etape. Pregatire, culegere date si de raport. Ce este foarte important in audit este ca in etapa de contractare a serviciilor sa fie definit foarte clar scopul auditului, metoda de audit folosita, instrumentele de lucru, program, documente necesare a fi puse la dispozitie. (Evaluari de risc, proceduri si planuri de securitate, proiecte tehnice sisteme de securitate (dupa caz). Manual de securitate, statistici de securitate, rapoarte de audit anterioare, alte documente relevante).
Tot in etapa de pregatire echipa de audit trebuie sa pregateasca grila de interviu in timpul auditului. Trebuie sa programeze auditul, sa primeasca acreditarile necesare pentru a putea intra in locatie si a le fi puse la dispozitie informatiile necesare.
Dupa etapa de culegere date din teren, echipa de audit analizeaza datele obtinute. Apoi va scrie raportul de audit si stabeste cu organizatia data si persoanle care vor participa la prezenatrea raportului de audit
Daca contractual prevede si parte de masuri si recomandari, prezentarea acestora
5. Care este statusul pieței de securitate din prisma cererii beneficiarilor pentru aceste servicii de audit de securitate. Cum ajută acestea industria de securitate?
Auditul de securitate, desi instrument util in managementul de securitate este folosit de regula de companii multinationale. Acestea prin procedurile interne au stabilite si bugetate astfel de masuri de securitate. Este folosit de companii atunci cand ceva rau s-a intamplat si vor o opinie independenta pentru a stabili cauze si masuri. Piata este una in formare ca si in cazul consultantei de securitate si sunt putini specialisti care livreaza astfel de servicii constant.
6. Puteți să ne precizați ce cunoștințe sunt necesare pentru a realiza un audit de securitate?
Functie de scopul auditului ( audit tehnic, audit proceduri si servicii de paza, audit pentru descoperire brese de securitate) auditorul sau echipa care analizeaza documentele si realizeaza formularul/chestionarul de audit. Trebuie sa aibe cunostinte temeinice in domeniul auditat ( paza, sisteme, proceduri, documentatie si cerinte legale). Experinata minima de 5 ani de zile pe domeniul de securitate auditat este obligatorie in opinia mea.
Astfel echipa de audit ar trebui sa existe un auditor cu experienta in management de securitate, un inginer sisteme de securitate, un specialist in documentatie legala, registre, proceduri, training. Daca in etapa de audit se evalueaza si bugetele de securitate alocate si eficienta bugetelor pe masuri. Atunci unul dintre auditori trebuie sa aiba experienta in lucru cu cifre, bugete de securitate per categorii. ( paza, sisteme, transport valori, mentenanta).
Echipa de redactare chestionar si analiza descoperiri poate fi diferita de cea din teren. Dar cu o pregatire mult peste echipa din teren. Echipa din teren urmeaza pasii dati de chestionar.
