Dlaczego audytować obieg dokumentów i uprawnienia w instytucji
Różnica między „mamy procedury” a „stosujemy procedury i umiemy to pokazać”
W większości instytucji dokumentów nie brakuje: regulaminy, procedury, zarządzenia, instrukcje, wytyczne. Problem zaczyna się, gdy kontroler pyta nie tylko „czy macie procedurę?”, ale „jak udowodnicie, że jest stosowana na co dzień?”. Audyt zgodności procedur, obiegu dokumentów i uprawnień polega właśnie na przejściu z poziomu deklaracji do poziomu twardych dowodów.
Sam fakt posiadania rozbudowanych instrukcji obiegu dokumentów nie oznacza zgodności. Jeśli w procedurze jest pięć kroków akceptacji wniosku, a w praktyce pracownicy załatwiają to „na telefon” i podpisują hurtowo na koniec tygodnia – w oczach kontrolera procedura po prostu nie działa. Audyt prewencyjny ma taki rozdźwięk wychwycić: pokazać, gdzie papier żyje własnym życiem, a procesy faktycznie funkcjonują inaczej.
Kluczowe w audycie jest powiązanie trzech elementów: procedura – praktyka – dowód. Procedura mówi „jak powinno być”, praktyka pokazuje „jak jest”, a dowód (np. ścieżka akceptacji w systemie, podpis na dokumencie, rejestr wpływu) pozwala to wykazać. Jeśli któregoś z tych ogniw brakuje, instytucja ma problem z wiarygodnością w razie kontroli.
Perspektywa kontrolera: czego szuka w obiegu dokumentów i uprawnieniach
Kontroler nie przychodzi po to, żeby podziwiać elegancko wydrukowane procedury. Zwraca uwagę przede wszystkim na to, czy da się prześledzić pełną ścieżkę życia dokumentu oraz kto i na jakiej podstawie podejmował decyzje. Najczęściej interesuje go:
- czy dokument został właściwie zarejestrowany (data wpływu, numer, znak sprawy),
- kto miał do niego dostęp i w jakim zakresie (wgląd, edycja, akceptacja),
- jak wyglądała ścieżka akceptacji – czy zgadza się z procedurą i przepisami,
- czy decyzje są udokumentowane, a nie tylko „wiadomo, że tak robimy”,
- czy uprawnienia osób podejmujących decyzje wynikają z pełnomocnictw, zakresów obowiązków, zarządzeń.
Kontroler sprawdza więc zarówno obieg dokumentów, jak i audyt uprawnień pracowników. Przygląda się, czy dana osoba miała prawo podpisać decyzję, sięgnąć do określonej dokumentacji, a także czy rozdzielono funkcje (np. nie występuje sytuacja, w której jedna osoba tworzy dokument, zatwierdza go i rozlicza). Jeśli instytucja potrafi pokazać przejrzystą ścieżkę akceptacji dokumentów i logiczny rejestr uprawnień i ról – już na starcie budzi większe zaufanie.
Audyt prewencyjny jako tarcza przed sankcjami i zaleceniami
Kontrola zewnętrzna zawsze wiąże się z ryzykiem: zaleceń pokontrolnych, nałożenia sankcji, a w skrajnych przypadkach – wszczęcia postępowań dyscyplinarnych lub karnych. Audyt zgodności procedur obiegu dokumentów i uprawnień pozwala to ryzyko znacząco ograniczyć. Działa trochę jak przegląd techniczny auta przed dłuższą trasą – wychwytuje usterki, zanim zrobi to ktoś w dużo mniej przyjaznych okolicznościach.
W wyniku audytu da się zidentyfikować typowe luki:
- brak formalnego przypisania odpowiedzialności za etap procesu,
- niespójne ścieżki akceptacji dokumentów w różnych komórkach,
- nadmierne lub przestarzałe uprawnienia w systemach IT,
- brak dokumentowania decyzji (np. zgody wyrażane „na słowo” lub na prywatnych mailach),
- niedostosowane instrukcje kancelaryjne lub regulaminy do aktualnych przepisów.
Im wcześniej te problemy zostaną opisane, zmapowane i przypisane do działań naprawczych, tym łatwiej podczas kontroli wykazać, że instytucja panuje nad ryzykiem formalnym. Kontroler znacznie łagodniej ocenia sytuację, gdy widzi, że obszary ryzyka są nazwane, istnieje plan działań naprawczych i realne dowody ich wdrażania.
Reputacja instytucji i odpowiedzialność osobista kierownictwa
Audyt zgodności procedur obiegu dokumentów i uprawnień to nie tylko „papierologia dla kontrolera”. To także kwestia reputacji instytucji i ochrony kierownictwa przed zarzutem braku nadzoru. Gdy dochodzi do sporu sądowego, naruszenia ochrony danych lub błędnej decyzji, bardzo szybko pojawia się pytanie: „kto powinien był to sprawdzić?” oraz „czy system kontroli wewnętrznej działał?”.
Przejrzysty, dobrze udokumentowany obieg dokumentów oraz jasno zdefiniowany system uprawnień działają jak bezpiecznik. Pozwalają pokazać, że decyzje były podejmowane przez właściwe osoby, na podstawie kompletnych informacji. W razie problemów kierownictwo może wykazać, że:
- istniał realny system nadzoru,
- prowadzono testy zgodności procedur,
- wdrażano działania naprawcze po wykryciu nieprawidłowości.
W wielu branżach taki system jest wręcz wymogiem prawnym lub wynika z oczekiwań organów nadzoru. Brak audytu i realnego zarządzania ryzykiem formalnym bywa później interpretowany jako zaniedbanie. Z punktu widzenia dyrektora czy prezesa audyt zgodności procedur to nie uciążliwa formalność, lecz inwestycja w osobiste bezpieczeństwo i wiarygodność instytucji.
Przygotowanie do audytu zgodności – zakres, cel, zespół
Precyzyjne określenie celu audytu
Pierwsza pokusa przy planowaniu audytu: „sprawdźmy wszystko”. Zwykle kończy się to rozmyciem priorytetów i raportem, który jest tak obszerny, że nikt nie ma siły go przeczytać. Dlatego na starcie trzeba jasno określić, czego audyt ma dotyczyć. Najczęściej cele mieszczą się w trzech kategoriach:
- zgodność z przepisami – np. ustawami sektorowymi, RODO, prawem zamówień publicznych, przepisami archiwalnymi, przepisami o finansach publicznych,
- zgodność z procedurami wewnętrznymi – regulaminami, instrukcjami kancelaryjnymi, politykami bezpieczeństwa informacji, wytycznymi kierownictwa,
- zgodność z wymaganiami organów nadzoru i normami – np. wytyczne KNF, NIK, ministerstw branżowych, standardy ISO, zalecenia po wcześniejszych kontrolach.
Dobrym podejściem jest zdefiniowanie jednego głównego celu (np. „weryfikacja zgodności obiegu dokumentów i uprawnień z przepisami branżowymi i RODO”) oraz 2–3 celów szczegółowych, powiązanych z kluczowymi procesami (np. „ścieżka akceptacji umów”, „dostęp do dokumentacji pracowniczej”). Dzięki temu audyt nie zamienia się w polowanie na drobne błędy, tylko koncentruje się na najważniejszych obszarach ryzyka.
Zakres audytu: procesy, jednostki, dokumenty, systemy IT
Zakres audytu warto opisać w sposób możliwie konkretny. Zamiast ogólnego „obieg dokumentów w instytucji” lepiej użyć zapisu typu: „obieg dokumentów finansowych od wpływu do archiwizacji, w jednostkach: księgowość, dział zamówień, kancelaria główna, przy wykorzystaniu systemu XYZ”.
Przy określaniu zakresu warto uwzględnić cztery wymiary:
- procesy – np. zawieranie umów, obieg faktur, obsługa skarg i wniosków, korespondencja z organami publicznymi, obieg dokumentów kadrowych,
- jednostki organizacyjne – działy, wydziały, oddziały, filie, jednostki podległe; trzeba ustalić, czy audyt obejmuje całą instytucję, czy wybrane komórki,
- rodzaje dokumentów – np. dokumenty finansowe, kadrowe, umowy, dokumentacja projektowa, dokumenty tajne/zastrzeżone, korespondencja ogólna,
- systemy IT – elektroniczny obieg dokumentów, system finansowo-księgowy, system kadrowo‑płacowy, system do zarządzania sprawami, repozytoria plików.
Dobrą praktyką jest stworzenie krótkiej tabeli pokazującej zakres w tych czterech wymiarach – ułatwia to komunikację i unikanie sporów w stylu „myślałem, że nas to nie dotyczy”.
Dobór zespołu audytowego – kto powinien brać udział
Skuteczny audyt obiegu dokumentów i uprawnień rzadko da się przeprowadzić w pojedynkę. Potrzebny jest zespół, który obejmie różne perspektywy. W składzie powinny się znaleźć co najmniej:
- osoba z obszaru compliance / kontroli wewnętrznej – odpowiada za metodykę audytu, dokumentowanie ustaleń, plan działań naprawczych,
- przedstawiciel działu IT – zna systemy, uprawnienia, logi systemowe, konfigurację workflow,
- przedstawiciel kadr – posiada wiedzę o zakresach obowiązków, strukturze organizacyjnej, zasadach nadawania uprawnień,
- osoby merytoryczne z kluczowych procesów – np. z działu zamówień, finansów, kancelarii, obsługi klienta,
- pełnomocnik ds. jakości / bezpieczeństwa informacji – jeśli istnieje, wnosi perspektywę norm i polityk wewnętrznych.
W większych instytucjach przydaje się również ktoś, kto zna się na zarządzaniu projektami – pilnuje harmonogramu, terminów i komunikacji. Skład zespołu powinien być opisany formalnie (np. zarządzeniem dyrektora), tak aby później nikt nie kwestionował mandatu do zbierania danych i przeprowadzania wywiadów.
Rola sponsora z kierownictwa i uczciwa informacja w górę
Każdy większy audyt potrzebuje sponsora po stronie kierownictwa – osoby odpowiedzialnej za zapewnienie zasobów, usuwanie blokad i odbiór wyników. Może to być członek zarządu, dyrektor generalny lub inny członek ścisłego kierownictwa. Bez jego wsparcia audyt łatwo utknie na poziomie „nie mamy teraz czasu” i „proszę wysłać pytania mailem”.
Sponsor powinien dostać od zespołu audytowego realistyczny obraz sytuacji, a nie „ładny raport”. To oznacza, że:
- w raporcie pojawiają się także niewygodne wnioski,
- nie maskuje się problemów ogólnikami („proces wymaga dopracowania”), tylko opisuje konkrety,
- proponuje się działania naprawcze z określeniem kosztów i priorytetów.
Audyt zgodności procedur ma sens tylko wtedy, gdy kierownictwo jest gotowe przyjąć informacje o realnych lukach. Jeżeli zespół będzie „wygładzał” ustalenia, żeby nikogo nie urazić, efekt końcowy będzie równie użyteczny jak prognoza pogody pisana na życzenie.
Plan audytu: harmonogram, kamienie milowe, komunikacja
Praktyczny plan audytu nie musi mieć kilkudziesięciu stron. Wystarczy, że jasno określa:
- datę rozpoczęcia i zakończenia,
- kluczowe kamienie milowe (np. zakończenie inwentaryzacji procedur, zakończenie wywiadów, zakończenie mapowania procesów, prezentacja wstępnych wniosków),
- osoby odpowiedzialne za zadania,
- zasady komunikacji z pracownikami (np. kto wysyła zaproszenia na wywiady, jak będą przekazywane prośby o dokumenty).
Pomocne bywa także przygotowanie krótkiego komunikatu do pracowników wyjaśniającego cel audytu, zakres i sposób pracy. Dzięki temu wywiady przebiegają sprawniej, a ludzie mniej się obawiają, że audyt ma „kogoś złapać”. Uspokajająco działa informacja, że celem jest poprawa procesów i ograniczenie ryzyka formalnego, a nie wskazanie winnych.
Ramy prawne i wewnętrzne – z czym trzeba porównać rzeczywistość
Typowe źródła wymogów dla obiegu dokumentów i uprawnień
Audyt zgodności procedur nie może opierać się wyłącznie na przeczuciu i „dobrych praktykach”. Potrzebne są konkretne punkty odniesienia. W praktyce są nimi:
- ustawy branżowe – regulujące działalność danej instytucji (np. ustawy o finansach publicznych, prawo o szkolnictwie wyższym, ustawy o działalności leczniczej, prawo bankowe),
- rozporządzenia i akty wykonawcze – np. w sprawie instrukcji kancelaryjnej, klasyfikacji archiwalnej, ochrony informacji niejawnych, szczegółowych zasad prowadzenia rejestrów,
- wytyczne organów nadzoru – NIK, RIO, ministerstw, KNF, UODO i innych; często zawierają bardzo konkretne oczekiwania co do dokumentowania działań,
- normy i standardy – np. ISO 9001, ISO 27001, standardy kontroli zarządczej, dobre praktyki branżowe,
- polityki wewnętrzne – regulaminy organizacyjne, regulaminy pracy, instrukcje kancelaryjne, polityka bezpieczeństwa informacji, procedury nadawania i odbierania uprawnień, instrukcje archiwalne.
Jak zbudować własny „katalog wymogów” do audytu
Suche przepisy i grube segregatory z procedurami trzeba przełożyć na język praktyki. Pomaga w tym stworzenie prostego, ale konsekwentnego katalogu wymogów, który będzie później listą kontrolną audytu. Nie chodzi o akademicką analizę prawa, tylko o zwięzłe punkty mówiące: „co konkretnie musi się dziać w procesie”.
Przydatny jest arkusz (lub moduł w narzędziu GRC), w którym dla każdego wymogu wpisujesz:
- źródło – konkretny przepis, norma lub dokument wewnętrzny (z oznaczeniem paragrafu, punktu),
- opis wymogu w języku operacyjnym – np. „Każda faktura musi mieć nadany identyfikator sprawy i być przypisana do komórki prowadzącej”,
- obszar/proces, którego dotyczy – np. „obieg faktur”, „obsługa korespondencji przychodzącej”,
- rodzaj kontroli – dokumentowa, techniczna (w systemie), organizacyjna,
- dowód spełnienia – jaki dokument, raport czy zrzut ekranu potwierdzi zgodność.
Tak przygotowany katalog pozwala uniknąć sytuacji, w której audytorzy siedzą nad tą samą ustawą i za każdym razem interpretują ją nieco inaczej. Ułatwia też rozmowę z kierownictwem: zamiast ogólnych dyskusji „czy my działamy zgodnie z prawem?”, pokazujesz, z którymi konkretnie wymogami jest problem.
Radzenie sobie z rozbieżnościami między przepisami a procedurami wewnętrznymi
Podczas audytu szybko wychodzi na jaw, że dokumenty wewnętrzne żyją własnym życiem. Instrukcja kancelaryjna sprzed kilku lat często nie nadąża za zmianami przepisów czy systemów IT. Zdarza się też, że różne regulacje wzajemnie sobie przeczą.
Dobrym nawykiem jest oznaczanie w katalogu wymogów potencjalnych konfliktów i luk. Przy każdym takim przypadku trzeba odpowiedzieć na trzy pytania:
- Co jest nadrzędne? (zwykle przepis prawa lub wytyczna organu nadzoru),
- Jakie realne ryzyko niesie obecny stan? (np. ryzyko sankcji, zarzutów o nierówne traktowanie, ryzyko utraty danych),
- Co trzeba zmienić: praktykę działania, dokumenty wewnętrzne, czy jedno i drugie?
Jeżeli wyjdzie na jaw, że ludzie działają „niezgodnie z procedurą”, ale za to zgodnie z prawem i zdrowym rozsądkiem, to sygnał, że dokumenty wewnętrzne wymagają pilnej aktualizacji, a nie że trzeba karać pracowników. Inaczej mówiąc: nieco przerysowując – jeśli pracownik musi wybierać między instrukcją a ustawą, to problem ma instytucja, nie pracownik.

Inwentaryzacja procedur i faktycznych praktyk – punkt wyjścia
Zbieranie dokumentów – nie tylko to, co w segregatorach
Inwentaryzacja zaczyna się zwykle dość „księgowo”: wypisaniem obowiązujących regulaminów, procedur i instrukcji. Na tym jednak nie wolno poprzestawać. Trzeba ustalić, co faktycznie reguluje działanie ludzi. Poza formalnymi dokumentami będą to:
- „procedury” ukryte w mailach i prezentacjach (np. instrukcje wysyłane kiedyś przez dyrektora działu),
- ustalenia „na Teamsach” czy w innych komunikatorach, które de facto zmieniły sposób pracy, ale nigdy nie trafiły do procedury,
- praktyki uzgodnione z organem nadzoru lub audytorami zewnętrznymi, zapisane w protokołach,
- formularze, wzory pism i szablony – często to one decydują, jakie informacje są zbierane i jak dalej dokument „krąży”.
W praktyce pomocne jest wysłanie do kierowników komórek krótkiej check‑listy z pytaniami: jakie dokumenty regulują obieg w waszym dziale, skąd pracownicy czerpią wiedzę „jak to robić”, czy macie własne instrukcje robocze. Odpowiedzi bywają zaskakujące – nagle okazuje się, że kluczowy proces opiera się na pliku Excela autorstwa jednej osoby.
Wywiady i obserwacja – jak ludzie naprawdę pracują
Audyt obiegu dokumentów nie może być wyłącznie „biurkowy”. Konieczne są wywiady z osobami, które na co dzień obsługują dokumenty i systemy, a także przynajmniej ograniczona obserwacja ich pracy. Chodzi o to, żeby zobaczyć pełną ścieżkę: od momentu wpływu dokumentu (papierowego lub elektronicznego) do jego załatwienia i archiwizacji.
Podczas wywiadu warto zadawać proste pytania, ale drążyć szczegóły:
- „Co się dzieje z dokumentem, gdy przychodzi pierwszy raz?”
- „Kto jest pierwszą osobą, która go widzi w systemie?”
- „Co robicie, jeśli brakuje jakiejś informacji?”
- „Czy zdarza się, że dokumenty omijają system? W jakich sytuacjach?”
Różnice między tym, co mówią procedury, a tym, co opisują pracownicy, są najcenniejszym materiałem z punktu widzenia audytu zgodności. Jeżeli w dodatku podczas obserwacji widać, że ludzie wykonują dodatkowe kroki (np. robią „dla bezpieczeństwa” własne kopie w Excelu albo na prywatnych dyskach), to sygnał, że w oficjalnym modelu procesu brakuje ważnych elementów.
Identyfikacja „skrótów” i obejść systemu
W każdej organizacji powstają mniej lub bardziej oficjalne „skrótowe ścieżki”: przesyłanie dokumentów poza systemem, podpisywanie poza formalną ścieżką akceptacji, obchodzenie limitów uprawnień. Zwykle nie wynika to ze złej woli – raczej z chęci przyspieszenia pracy albo z niedostatków systemu.
Audyt powinien te skróty nazwać i opisać. Szczególną uwagę zwróć na sytuacje, gdy:
- dokument zaczyna swój bieg w systemie, ale kończy się „ręcznie”,
- pracownicy przepisują dane z jednego systemu do drugiego (bo „nie ma integracji”),
- pracownicy przesyłają dokumenty robocze mailem poza systemem obiegu,
- używa się prywatnych kont lub nieformalnych grup w komunikatorach do wymiany dokumentów z danymi wrażliwymi.
Nie chodzi o to, by natychmiast „ścigać” każde obejście. Najpierw trzeba zrozumieć, dlaczego ono powstało. Często te nieformalne rozwiązania pokazują, czego w systemie lub procedurze brakuje i gdzie rzeczywista praca nie mieści się w oficjalnych ramkach.
Mapowanie obiegu dokumentów – od wpływu do archiwum
Wybór formatu mapy procesu
Dokumentację obiegu można narysować na wiele sposobów. Nie ma jednego słusznego modelu, ważne jednak, by był czytelny dla osób spoza zespołu audytowego. Sprawdzają się m.in.:
- proste schematy blokowe z podziałem na komórki organizacyjne,
- diagramy typu swimlane (torowe), gdzie każdy tor to inna rola lub dział,
- mapy SIPOC (dostawcy–wejścia–proces–wyjścia–klienci) dla kluczowych procesów,
- opis tekstowy z krokami numerowanymi, wspierany prostym schematem.
Jeżeli organizacja ma już własną metodykę modelowania procesów, audyt powinien się do niej dostosować. Celem nie jest tworzenie kolejnego, oderwanego systemu symboli, ale dopisanie realnych ścieżek do istniejącej architektury procesów.
Jak szczegółowo mapować – poziomy opisu
Najczęstszy błąd to albo opis zbyt ogólnikowy („dokument jest rejestrowany i przekazywany do właściwej komórki”), albo odwrotnie – wchodzenie w mikro‑kroki typu „pracownik podnosi słuchawkę telefonu”. Dobrze jest przyjąć 2–3 poziomy szczegółowości:
- poziom 1 – główne etapy (np. wpływ dokumentu, rejestracja, dekretacja, realizacja merytoryczna, akceptacja, wysyłka odpowiedzi, archiwizacja),
- poziom 2 – kroki w ramach etapu (np. kto wprowadza dane do systemu, kto nadaje kategorię archiwalną, kto sprawdza kompletność),
- poziom 3 – warianty (np. co się dzieje, gdy dokument wraca do poprawy, gdy brakuje załączników, gdy organ nadrzędny żąda pilnej odpowiedzi).
Przy kluczowych procesach „wrażliwych” (np. zamówienia publiczne, umowy, dane medyczne, dokumentacja pracownicza) opłaca się zejść o poziom głębiej, bo tam szczegóły decydują o tym, czy instytucja ma argumenty w razie kontroli.
Łączenie map procesu z systemami IT i uprawnieniami
Mapa obiegu dokumentów zyskuje dopiero wtedy, gdy połączysz ją z konkretnymi systemami i rolami użytkowników. Dla każdego kroku warto wskazać:
- w jakim systemie lub narzędziu krok się odbywa (EZD, system FK, HR, e‑mail, narzędzie do podpisu elektronicznego),
- jaką rolę systemową musi mieć użytkownik, żeby ten krok wykonać (np. „operator kancelarii”, „koordynator merytoryczny”, „zatwierdzający płatności”),
- jakie dane są w tym kroku przetwarzane (w tym kategorie danych osobowych),
- czy w tym miejscu proces może „zejść z torów” – np. przejść poza system lub utknąć.
W praktyce dobrze działają mapy, na których oprócz strzałek i bloków są oznaczone punkty kontrolne: miejsca, gdzie w procesie pojawia się formalne uprawnienie (np. akceptacja, dekretacja, nadanie kategorii archiwalnej). Właśnie tam najczęściej koncentruje się późniejsza analiza uprawnień.
Identyfikacja punktów ryzyka i „wąskich gardeł”
Po narysowaniu mapy trzeba na nią popatrzeć jak na plan miasta: gdzie tworzą się korki, gdzie brakuje sygnalizacji, a gdzie przejścia dla pieszych prowadzą donikąd. W kontekście audytu zgodności szczególnie interesują:
- punkty pojedynczej odpowiedzialności – gdy tylko jedna osoba w instytucji ma formalne uprawnienia do wykonania danego kroku,
- brak rozdzielenia obowiązków – ta sama osoba wprowadza, zatwierdza i rozlicza dokument,
- miejsca „poza radarem” – procesy toczą się mailem, w Excelu lub poza głównym systemem, bez logów i śladu w rejestrach,
- brak ścieżki odwołania – jeśli ktoś odmawia akceptacji dokumentu, nie ma jasnych zasad, co dzieje się dalej.
Warto oznaczyć te punkty na mapie np. innym kolorem. Dzięki temu kierownictwo widzi, nie tylko jak proces przebiega, ale także gdzie występuje podwyższone ryzyko formalne lub operacyjne.
Analiza uprawnień – kto, do czego i na jakiej podstawie
Inwentaryzacja ról i uprawnień w systemach
Punktem wyjścia jest pełna lista ról i profili uprawnień w kluczowych systemach: EZD, finansowo‑księgowym, kadrowym, systemie do zarządzania sprawami, repozytoriach plików. Nie chodzi tylko o nazwy ról, ale o zrozumienie, co one realnie umożliwiają: podgląd, edycję, akceptację, usuwanie, eksport danych.
Wspólnie z IT warto przygotować zestawienie:
- jakie role istnieją w każdym systemie,
- jakie uprawnienia szczegółowe ma dana rola (najlepiej w skróconej formie, zgrupowanej w kategorie),
- ile osób ma przypisaną daną rolę i w jakich jednostkach pracują,
- czy rola jest rola standardowa (z katalogu), czy powstała „ad hoc” dla pojedynczego użytkownika.
Już na tym etapie często wychodzi na jaw, że funkcjonują role typu „superuser” używane dużo szerzej, niż przewidywał to pierwotny projekt. Klasyczne odkrycie: rola „administrator lokalny” nadana połowie działu, bo „tak było wygodniej”.
Porównanie uprawnień z zakresem obowiązków i strukturą organizacyjną
Uprawnienia systemowe nie mogą żyć w oderwaniu od zakresów czynności, regulaminu organizacyjnego i pełnomocnictw. Analiza polega na odpowiedzi na kilka prostych, ale konsekwentnych pytań:
- czy osoba, która ma uprawnienie do akceptacji danego dokumentu, ma do tego umocowanie w strukturze (stanowisko, pełnomocnictwo, zarządzenie),
- czy istnieją obszary, w których pracownicy „technicznie mogą wszystko”, ale formalnie nie mają takiego zakresu odpowiedzialności,
- czy rozdział ról zapewnia minimalny poziom kontroli (np. inna osoba wprowadza dane, inna zatwierdza, inna rozlicza),
- czy kierownicy mają dostęp wyłącznie do tych informacji o pracownikach/finansach, których potrzebują do zarządzania.
Weryfikacja zasady najmniejszych uprawnień (least privilege)
Gdy lista ról i ich przypisanie jest już znane, przychodzi moment na kluczowe pytanie: czy ktoś ma dostęp do czegoś „na zapas”. Chodzi o klasyczną zasadę najmniejszych uprawnień – użytkownik powinien mieć tylko takie możliwości, które są mu potrzebne do codziennej pracy.
Dobrym podejściem jest prosta, ale systematyczna analiza:
- dla każdego stanowiska opisać w 2–3 zdaniach, do czego faktycznie potrzebny jest dostęp,
- porównać to z obecnym zakresem uprawnień w systemach,
- zanotować przypadki, gdzie uprawnienia są ewidentnie szersze (np. pełen dostęp do wszystkich spraw, choć osoba obsługuje tylko jeden zespół),
- sprawdzić, czy pracownicy liniowi nie mają przypadkiem uprawnień kierowniczych lub administracyjnych.
W praktyce wychodzą przy tym różne „pamiątki historii”: dostęp kogoś, kto kiedyś zastępował kierownika, rola administratora nadana na czas wdrożenia systemu i nigdy nieodebrana, profil projektowy, który po projekcie został, bo „jeszcze się przyda”. Audyt ma te ślady wychwycić i nazwać – bez polowania na czarownice, raczej z myślą o uporządkowaniu.
Analiza rozdzielenia obowiązków i konfliktów ról
Sama zasada najmniejszych uprawnień to za mało, gdy w grę wchodzą procesy finansowe, kadrowe czy zamówieniowe. W tych obszarach kluczowe jest rozdzielenie obowiązków (segregation of duties). Chodzi o to, by jedna osoba nie mogła samodzielnie „przeprowadzić” całej transakcji od początku do końca bez żadnej weryfikacji.
Audyt powinien zidentyfikować tzw. konflikty ról. Pomaga w tym lista zestawów uprawnień, które nie powinny być łączone u jednego użytkownika, np.:
- wprowadzanie dokumentów finansowych + ich zatwierdzanie,
- zakładanie kontrahentów + akceptacja płatności na ich rzecz,
- tworzenie i modyfikowanie kartoteki pracownika + naliczanie wynagrodzeń,
- rejestrowanie wpływu dokumentów + nadawanie kategorii archiwalnych i decydowanie o brakowaniu.
Jeżeli system posiada wbudowany moduł kontroli konfliktów ról – warto z niego skorzystać. Jeśli nie, trzeba zbudować prostą matrycę konfliktów w arkuszu kalkulacyjnym i zderzyć ją z realnymi przypisaniami. Wyniki są zwykle mało spektakularne, ale bardzo praktyczne: kilka–kilkanaście przypadków, które wymagają przeprojektowania ról lub wzmocnienia kontroli kompensujących.
Uprawnienia tymczasowe, zastępstwa i „awarie”
Sztywne matryce ról pięknie wyglądają na papierze, ale życie przynosi urlopy, choroby i sytuacje awaryjne. Właśnie wtedy najłatwiej o rozsypywanie się zasad. W audycie dobrze jest ująć także:
- jak formalnie nadaje się uprawnienia na zastępstwa (czy jest pisemny wniosek, czy tylko „ustne polecenie” do IT),
- czy są procedury odbierania uprawnień po zakończeniu zastępstwa,
- jak rozwiązane są sytuacje „na już” – np. konieczność wysłania przelewu po godzinach pracy księgowości,
- czy prowadzone są dzienniki decyzji awaryjnych, gdzie odnotowuje się, komu przyznano dostęp ponad standard.
Osobny punkt to konta techniczne i serwisowe. Zdarza się, że dostawca systemu ma szerokie uprawnienia na stałe „na wszelki wypadek”. W audycie wypada sprawdzić, czy:
- takie konta są imienne, czy współdzielone,
- logi pozwalają ustalić, kto i kiedy z nich korzystał,
- obowiązuje procedura ich użycia (np. zgoda administratora bezpieczeństwa informacji lub kierownika komórki).
Porządkowanie uprawnień historycznych i „sierot”
Po kilku latach działania systemu uprawnienia często przypominają strych: dużo rzeczy, których nikt już nie potrzebuje, ale „szkoda wyrzucić”. Audyt to dobry moment, by ten strych posprzątać.
Lista typowych obszarów do przeglądu obejmuje:
- konta użytkowników nieaktywnych od dłuższego czasu,
- uprawnienia pracowników, którzy zmienili dział lub zakres obowiązków,
- role testowe i projektowe, które przetrwały wdrożenie,
- grupy uprawnień, do których wszyscy są „na wszelki wypadek” dopisani.
Dobrym zabiegiem jest przedstawienie kierownikom listy użytkowników z ich uprawnieniami i poproszenie o formalną akceptację lub wniosek o ograniczenie. Po pierwszym takim przeglądzie zwykle słychać zdanie: „Naprawdę oni mają aż taki dostęp?”. To nie jest krytyka IT, raczej sygnał, że temat dawno nie był całościowo oglądany.
Rejestrowanie i śledzenie zmian uprawnień
Nawet najlepiej zaprojektowany model ról nic nie da, jeśli zmiany w uprawnieniach będą następować chaotycznie. Audyt powinien sprawdzić, czy w instytucji:
- istnieje jasny tryb wnioskowania o nowe uprawnienia (formularz, system zgłoszeń),
- każdy wniosek ma właściciela, który sprawdza zasadność i zgodność z zakresem obowiązków,
- decyzje o nadaniu/odebraniu uprawnień są rejestrowane w sposób umożliwiający późniejsze odtworzenie historii,
- logi zmian uprawnień są dostępne w przypadku incydentu lub kontroli.
Przy okazji warto przejrzeć wyrywkowo kilka konkretnych przypadków: kto wystąpił o rozszerzenie uprawnień, kto zatwierdził, kiedy faktycznie zostały nadane. Taka „ścieżka jednego użytkownika” dobrze pokazuje, czy formalna procedura działa tylko na papierze, czy także w praktyce.
Uprawnienia a ochrona danych osobowych
Obieg dokumentów niemal zawsze oznacza przetwarzanie danych osobowych. Dlatego częścią audytu musi być spojrzenie przez pryzmat zgodności z RODO oraz przepisami sektorowymi (np. w ochronie zdrowia, oświacie, pomocy społecznej).
Dla głównych procesów dobrze jest stworzyć prostą tabelę, w której pojawią się:
- kategorie przetwarzanych danych (zwykłe, szczególne, dane o wyrokach),
- grupy użytkowników mające do nich dostęp,
- rodzaj dostępu (podgląd, edycja, eksport, przekazywanie),
- podstawa prawna dostępu (ustawa, regulamin, upoważnienie).
Audyt ujawnia przy tym często zbyt szeroki dostęp do danych wrażliwych, np. wszystkich akt pracowniczych dla całego działu, choć faktycznie potrzebny jest dostęp jedynie do akt własnej komórki. Zdarzają się też sytuacje „hurtowego” podglądu danych medycznych, gdy system domyślnie pokazuje całą kartotekę pacjentów danego szpitala, a nie tylko oddziału.
Uprawnienia do eksportu, drukowania i wynoszenia danych
Jednym z najczęściej niedoszacowanych obszarów jest kontrola nad kopiowaniem informacji. Sam wgląd do dokumentu to jedno, możliwość jego wyeksportowania, wydrukowania lub wysłania poza organizację – to już zupełnie inny poziom ryzyka.
W audycie uprawnień warto przyjrzeć się, kto może:
- robić masowe eksporty danych (np. do Excela, XML),
- drukować dokumenty zawierające dane wrażliwe,
- tworzyć kopie baz danych lub repozytoriów,
- konfigurować integracje z zewnętrznymi systemami.
Często okazuje się, że uprawnienie „eksport” jest domyślnie przydzielone wszystkim użytkownikom danej roli, bo tak kiedyś ustawił producent systemu. Zadaniem audytu jest takie niuanse wychwycić i sprawdzić, czy są one akceptowalne z perspektywy ryzyka i przepisów.
Kontrola dostępu do archiwów i repozytoriów dokumentów
Obieg dokumentu zwykle kończy się w archiwum – papierowym lub elektronicznym. Tam z kolei często schodzą się różne „strumienie” uprawnień, a nadzór bywa luźniejszy, bo „to już tylko archiwum”. Tymczasem to właśnie tam gromadzi się ogromna ilość wrażliwych informacji.
W obszarze archiwów audyt powinien sprawdzić m.in.:
- kto i na jakiej podstawie ma dostęp do akt zakończonych spraw (w systemie i w archiwum tradycyjnym),
- jak wygląda procedura udostępniania dokumentów na potrzeby innych komórek, organów zewnętrznych, pełnomocników stron,
- czy archiwista ma uprawnienia tylko do obsługi dokumentów, czy także do ich merytorycznej zmiany,
- w jaki sposób ewidencjonuje się wypożyczenia i zwroty akt,
- czy istnieją ograniczenia dostępu do dokumentów objętych tajemnicą (zawodową, służbową, skarbową itp.).
Osobnym tematem jest dostęp administracyjny do elektronicznego archiwum – kto może zmieniać metadane, usuwać pliki, dokonywać migracji. Czasem jedna osoba łączy rolę archiwisty i administratora systemu, co z punktu widzenia podziału obowiązków bywa problematyczne.
Logowanie działań użytkowników i ścieżka audytu
Nawet najlepiej dobrane uprawnienia nie zastąpią rejestrowania działań. Audyt powinien więc objąć również to, jakie logi generuje system i jak długo są przechowywane. Kluczowe pytania są proste:
- czy system odnotowuje kto, kiedy i jaki dokument:
- utworzył,
- zmodyfikował,
- zaakceptował lub odrzucił,
- przekazał dalej w obiegu,
- usunął lub przekazał do brakowania,
- czy logi obejmują także operacje na uprawnieniach (nadania, zmiany, odbieranie ról),
- jak długo i gdzie są przechowywane, kto ma do nich dostęp,
- czy istnieje proceduralny sposób korzystania z logów (np. przy wyjaśnianiu skarg lub incydentów).
W praktyce często wychodzi, że system coś loguje, ale nikt z tego nie korzysta, bo nie ma określonego trybu analizowania wpisów ani odpowiedzialnego za to stanowiska. Z perspektywy audytu oznacza to potencjał do szybkiej poprawy – narzędzia już są, trzeba tylko włączyć je w życie organizacji.
Powiązanie ustaleń z planem działań naprawczych
Audyt zgodności nie kończy się na wskazaniu, że uprawnienia są zbyt szerokie, role nieaktualne, a proces obiegu dokumentów lubi schodzić na skróty. Sedno polega na przygotowaniu konkretnego planu porządkującego, który da się zrealizować bez paraliżu codziennej pracy.
Dobrą praktyką jest pogrupowanie rekomendacji w kilku kategoriach:
- szybkie poprawki techniczne – np. odebranie roli „superuser” kilku użytkownikom, wyłączenie opcji eksportu dla wybranych profili, doprecyzowanie konfiguracji workflow,
- zmiany organizacyjne – aktualizacja zakresów obowiązków, doprecyzowanie pełnomocnictw, rozdzielenie ról w krytycznych procesach,
- zmiany w procedurach – wprowadzenie formalnego trybu nadawania i cofania uprawnień, dopisanie obsługi zastępstw, uporządkowanie zasad pracy „poza systemem”,
- działania edukacyjne – krótkie szkolenia i komunikaty dla pracowników, dlaczego pewne „udogodnienia” (jak prywatne dyski i Excele) znikają.
Dobrym sprawdzianem jakości audytu jest to, czy po jego zakończeniu da się w prostych słowach wyjaśnić kierownictwu i pracownikom: co konkretnie się zmieni, po co i jak wpłynie to na ich codzienną pracę. Jeśli odpowiedź brzmi „będzie mniej chaosu i mniej stresu przy kontroli”, to znak, że wysiłek nie poszedł na marne.
Co warto zapamiętać
- Samo istnienie procedur to za mało – kluczowe jest, czy są faktycznie stosowane i czy da się to udowodnić konkretnymi śladami (rejestry, podpisy, logi w systemie).
- Audyt łączy trzy elementy: procedurę („jak powinno być”), praktykę („jak jest naprawdę”) oraz dowód („jak to pokażemy kontrolerowi”) – brak któregokolwiek z nich podważa wiarygodność instytucji.
- Kontroler patrzy przede wszystkim na ścieżkę życia dokumentu i uprawnienia: kto miał dostęp, kto podejmował decyzje, na jakiej podstawie oraz czy role są rozdzielone, a nie „wszyscy robią wszystko”.
- Audyt prewencyjny działa jak przegląd techniczny – wcześniej ujawnia luki (np. brak formalnej odpowiedzialności, przestarzałe uprawnienia w systemach, decyzje „na telefon”), zanim zrobi to zewnętrzna kontrola z sankcjami w pakiecie.
- Przejrzysty obieg dokumentów i jasno opisane uprawnienia chronią reputację instytucji i kierownictwo przed zarzutem braku nadzoru – łatwiej wtedy pokazać, że system kontroli wewnętrznej naprawdę działał.
- Udokumentowane testy zgodności oraz działania naprawcze są dla kontrolera sygnałem, że instytucja panuje nad ryzykiem formalnym, nawet jeśli nie wszystko działa jeszcze idealnie (coś jak „widzimy problem i już go naprawiamy”).
- Zakres audytu trzeba zawęzić i jasno zdefiniować (przepisy, procedury wewnętrzne, wymagania nadzoru), bo próba „sprawdzenia wszystkiego naraz” kończy się raportem, którego nikt nie czyta i z którego niewiele wynika.






