Kto może dokonywać w ośrodku pomocy społecznej okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji?

Kto dokonuje / może dokonywać w Ośrodku Pomocy Społecznej okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, o którym mowa w § 20 ust. 2 pkt 14 rozporządzenia Rady Ministrów z 12.04.2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, zgodnie z którym chodzi o zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok? Czy może to być pracownik ośrodka pomocy społecznej, centrum usług wspólnych (które obsługuje informatycznie OPS), czy może to być firma zewnętrzna (choć w przepisie mowa o audycie wewnętrznym)? Jak odbywa się ww. audyt?