W ostatnim czasie termin „audyt” jest bardzo często używany. Stwierdzenie to stało się niezwykle popularne w wielu dziedzinach życia. Począwszy od polityki, gdzie władza „audytuje” dokonania poprzedników, przez zarządzających weryfikujących efektywność pracy swoich pracowników, po mnożenie się uczelni oferujących studia z tego zakresu. Trochę tego sporo, nieprawdaż? Dzisiejszym tekstem chcielibyśmy przedstawić Państwu czym tak naprawdę jest audyt, a także czym różni się on od kontroli, z którą tak często jest zestawiany (a niekiedy stosowany także zamiennie). Odniesiemy się także do Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, w którym kwestia audytu bądź audytowania występuje kliklukrotnie.
Audyt według Kodeksu etyki oraz Międzynarodowych standardów praktyki zawodowej audytu wewnętrznego to działalność niezależna i obiektywna, której celem jest przysporzenie wartości i usprawnienie działalności operacyjnej organizacji. Polega na systematycznej i dokonywanej w uporządkowany sposób ocenie procesów: zarządzania ryzykiem, kontroli i ładu organizacyjnego, i przyczynia się do poprawy ich działania. Pomaga organizacji osiągnąć cele dostarczając zapewnienia o skuteczności tych procesów, jak również poprzez doradztwo. Zatem mamy tutaj do czynienia z niezwykle pożytecznym procesem, który ma wesprzeć najwyższe kierownictwo w poprawie efektywności i skuteczności w funkcjonowaniu jednostki.
Audyt, kolokwialnie rzecz ujmując, zawsze robi się „po coś”. Do najważniejszych celów audytu należy:
Audyt jest bardzo często mylony z kontrolą.
Czym tak naprawdę się różnią? Czytelną opinię w tej kwestii przedstawiają eksperci Międzynarodowego Instytutu Audytorów Wewnętrznych IIA1, których zdaniem kontrola jest to porównanie stanu faktycznego ze stanem wymaganym, natomiast audyt jest to ocena czy stan faktyczny jest odpowiedni dla zapewnienia realizacji celów wraz ze wskazaniem kierunków niezbędnych zmian. Konkludując, kluczową różnicą pomiędzy audytem a kontrolą jest fakt, że ten pierwszy wskazuje zalecenia i rekomendacje, w celu usprawnienia działania jednostki. W przypadku kontroli powyższe czynności po prostu nie występują.
Termin „audyt” występuje w RODO aż czterokrotnie. Sformułowania obejmujące ten zakres tematyczny znajdziemy odpowiednio w art. 28, art. 39, art. 47, a także art. 59 RODO. Jego zastosowanie odnosi się m.in. w działaniu organów kontrolnych, udostępnianiu danych osobowych czy procedurze powierzania. Tak częste używanie tego terminu pozwala domniemywać, że kompleksowy i profesjonalnie zrealizowany audyt RODO stanowi o znaczącej wartości dodanej w przestrzeganiu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Interesujący zapis dotyczący audytu znajdziemy w art. 39 ust. 1 lit b) RODO, który stanowi, że zadaniem Inspektora Ochrony Danych jest monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty.
Wniosek? Inspektor Ochrony Danych to nie kontroler w zakresie zgodności procesów przetwarzania, a de facto audytor firmy pod kątem zgodności z RODO.
Nasz zespół zapewnia kompleksową obsługę w zakresie przygotowania procedur i dokumentacji oraz świadczenia funkcji Inspektora Ochrony Danych.
KLIKNIJ i dowiedz się więcej lub skontaktuj się z nami:
tel. +48 22 354 68 93 | biuro@itls.pl
Procedura audytu zarówno wewnętrznego jak i zewnętrznego powinna stanowić istotny element w funkcjonowaniu każdej organizacji. Przynosi ona bowiem za sobą szereg korzyści. Ułatwia wychwycić błędy, zwraca uwagę na niepotrzebną podatność na ryzyko, a niekiedy pozwala uniknąć wysokich kar finansowych (zarówno w sektorze związanym z ochroną danych osobowych, jak również m.in. w finansach).
Autor: Eryk Brodnicki
Redakcja: IT Law Solutions