Руководителю – о корпоративной безопасности. Как устроена и что умеет корпоративная служба безопасности

Бизнес и риск

Пожалуй, стоит начать с определения. «Предпринимательская деятельность – это самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг. Классическая, взятая из Гражданского кодекса Российской Федерации формулировка фокусирует внимание на том, что бизнес – это деятельность, связанная с риском. Не вдаваясь в любимое развлечение теоретиков безопасности – разграничивать понятия риска, опасности и угроз, просто подчеркнём, что зарабатывать деньги, заниматься бизнесом всегда опасно. И предприниматель рискует порой не только деньгами, то есть неполучением прибыли или возможными убытками.

Есть риски, которые мы назовём обычными бизнес-рисками. Они возникают в ходе реализации бизнес-проекта или в операционном бизнесе при условии корректного поведения людей и организаций. К ним мы относим такие факторы и обстоятельства, как ошибки в расчётах бизнес-проекта, всевозможные аварии и стихийные бедствия, управленческие ошибки менеджеров, успешные, но при этом корректные действия конкурентов, рутинные или внезапные изменения налогового и иного законодательства или, допустим, обрыв важных партнёрских связей в силу изменения политических обстоятельств.

Но есть и другая группа рисков, источником которых являются внешние и внутренние (по отношению к корпорации) угрозы.

В целом угрозы – это неправомерные, некорректные по форме или по существу действия, направленные во вред бизнесу.

Что мы имеем в виду?

К внешним угрозам можно отнести умышленное негативное воздействие на бизнес государственных регуляторов, правоохранительных и контрольно-надзорных органов, воздействие преступных лиц и групп, включая посягательства на собственность, активы, рейдерские захваты, недружественные слияния и поглощения, угрозы личной безопасности бенефициаров бизнеса, ключевых сотрудников и членов их семей, недобросовестное поведение конкурентов, хакерские атаки и т. д.

Взглянув на этот (неполный) список, мы замечаем любопытную вещь: не всё перечисленное является нарушениями закона. Некоторые вещи, такие как недружественные слияния и поглощения, могут осуществляться вашими недругами и конкурентами в полном соответствии с действующими нормами. Однако это именно угрозы, а не то, что мы ранее назвали бизнес-рисками. Почему? Потому что бизнес-риск – это когда конкурент выводит на рынок конкурирующий продукт и только этим доставляет вам неприятности. А вот когда он своими действиями пытается разрушить ваши внутренние бизнес-процессы – допустим, нарушив вашу логистику или перекупив ключевого специалиста, – это самая что ни на есть внешняя угроза.

А что же такое внутренние угрозы? Это разногласия предпринимателя с партнёрами, которые зачастую, начав как единомышленники, по разным причинам становятся врагами, деструктивное поведение нелояльного менеджмента, это умышленные или неосторожные действия или бездействие, вследствие которых утекает коммерческая тайна (например, клиентские базы данных), это получение сотрудниками откатов – то, что официально называется коммерческим подкупом, – вследствие чего компанией заключаются договоры не с лучшими контрагентами и не на лучших условиях, «исчезают» деньги на счетах или продукция на складе и происходит много других неприятных или даже фатальных событий.

Едва ли сегодня существуют наивные бизнесмены, вовсе не осознающие наличие этих проблем. Они понимают, что необходимо уделять внимание защите своего бизнеса и себя лично, и что кроме собственного внимания придётся потратить на эту задачу и другие ресурсы. Причём делать это надо заранее, до того, как проблемы встали во всей своей красе.

И тут у бизнесмена возникает естественный вопрос – какой толщины должна быть возводимая крепостная стена, сколько линий обороны должно быть организовано? Достаточно ли просто ввести в действие какие-то правильные регламенты? Или воспользоваться услугами внешнего консультанта? Или необходимо включить в штат специалиста по безопасности? Или создать целое структурное подразделение, занимающееся такими проблемами – службу безопасности (СБ)?

А может, стоит передать вопросы безопасности на аутсорсинг?

Но если, допустим, всё-таки включать в состав компании специалистов по безопасности, то у нашего бизнесмена сразу возникают новые группы вопросов. Есть ли специально обученные люди, которые могут мне помочь? Как мне организовать взаимодействие с такими людьми? Как мне им доверять, если я приду к ним за помощью, и сколько это будет стоить? В какие процессы запускать этих людей, а какие держать от них в секрете? А как быть уверенным, что сами эти люди не станут создавать бизнесу проблемы, предлагая удобные для себя варианты их последующего решения? Иначе говоря, как избежать превращения этих людей в самостоятельную угрозу безопасности и при этом наиболее эффективно использовать их профессиональный потенциал?

Заметим попутно, что по части использования потенциала специалистов по безопасности можно зайти очень и очень далеко, превратив защитников своего бизнеса в средство атаки бизнеса конкурента. Несложно вообразить дальнейшее движение по этому пути: успешная война требует подчинения всего своим военным целям, и постепенно компания может стать на «военные рельсы» и тратить неадекватно большой ресурс на войну с конкурентами, регуляторами, реальными и вымышленными противниками.

Итак, у бизнесмена возникает запрос на обеспечение корпоративной безопасности, которую можно определить как состояние защищённости принадлежащей и/или управляемой им корпорации от внутренних и внешних угроз.

Здесь следует уточнить определения, которыми мы дальше станем пользоваться: под корпорацией в широком смысле мы станем понимать систему бизнес-процессов, объединенных общей целью – извлечение прибыли (или как, например, в случае с некоммерческими организациями – эффективное расходование средств в соответствии с поставленными целями), совокупность лиц, реализующих эти процессы (менеджмент), инфраструктуру компании, её активы, в том числе информацию. Фактически корпорация – это инструмент, с помощью которого бизнесмены решают свои бизнес-задачи. В узком же смысле под корпорацией понимается конкретное юридическое лицо или группа аффилированных юридических лиц.

Разумеется, решает, какой быть корпоративной безопасности, всегда собственник бизнеса или уполномоченное им лицо, например генеральный директор. При этом он должен учитывать множество разных факторов, часть которых уникальна для его ситуации, тогда как другая часть – довольно типична для определённого класса корпораций. Эта типичность сильно облегчает задачу проектирования системы корпоративной безопасности. По этой причине проектирование начинается с определения принадлежности корпорации к тому или иному классу. Иначе говоря – к позиционированию в многомерном пространстве критериев.

Формулировка кажется сложной? На самом деле здесь всё просто: есть критерии, и надо приложить их к своему бизнесу. Вот самые существенные:

– По отношению к типу учредителя: частный, государственный, гибридный (например, частью акций владеет государство, или создано НКО, учреждённое государственными структурами).

– По отношению к источнику финансирования: бизнес существует и/или развивается на частные деньги, государственные деньги или использует в своей деятельности варианты косвенного государственного финансирования (например, субсидии, гранты, налоговые льготы).

– По наличию/отсутствию бизнес-процессов, нарушающих законодательство: «белый» (все бизнес-процессы которого существуют в правовом поле), «серый» (как вариант, со спорными схемами налоговой оптимизации или работающий в слепой зоне государственного регулирования, например в сфере обращения криптовалюты) или «чёрный» (например, занимающийся обналичиванием денежных средств или подкупом государственных служащих для победы в тендерах, получения разрешительных документов, прохождения лицензирования и т. п.).

– По характеристике конкурентного окружения: плотное конкурентное окружение, среднее или сфера с низкой конкурентной активностью и, соответственно, «агрессивностью» внешней среды. Впрочем, острота конкуренции вовсе не всегда означает склонность конкурентов к некорректным действиям. Это два разных параметра.

– По наличию или отсутствию бизнес-процессов, подпадающих под государственное регулирование в форме лицензирования, государственного аудита, финансового контроля (например, розничное кредитование или бизнес с информационными системами и процессами, входящими в реестр критической информационной инфраструктуры).

– Наконец, по объёму оборотных средств и валовой прибыли: крупный бизнес, средний или малый.

Определившись, то есть ответив на эти вопросы, собственник создаёт вариант описания бизнес-модели своей корпорации. Вот несколько примеров того, как это может выглядеть:

– «У меня средняя компания, с валовой прибылью Х миллиардов рублей в год, принадлежащая мне и ещё одному партнёру – частному лицу, с которым возможны проблемы при выходе его из бизнеса. Мы работаем в высококонкурентном секторе экономики и постоянно сталкиваемся с „неспортивным“ поведением конкурентов. Для развития одного из проектов мы привлекли государственную субсидию и будем отчитываться о целевом финансировании. Также мы периодически участвуем в государственных аукционах и, как многие победители, платим откаты за заключенные контракты. На один из видов деятельности компании мы получили лицензию и, вероятно, столкнемся с „выкручиванием рук“ при продлении лицензии».

– «Я генеральный директор НКО, учредителем которой является федеральный орган исполнительной власти. Мы получаем финансирование в виде государственных субсидий на сотни миллиардов рублей, должны их осваивать, и рано или поздно о наших расходах нам придётся отчитаться перед Счётной палатой. Мы проводим много закупок товаров и услуг для выполнения целей, ради которых было создано НКО. Компания быстро выросла, и сейчас в штате уже 150 человек, а через год будет ещё столько же. Мы, скорее всего, не совершаем никаких преступлений, но небрежность в проведении закупок, возможно, вызовет признание контрольным органом некоторых расходов нецелевыми со всеми вытекающими последствиями».

– «Я долларовый миллиардер, владеющий значимыми для экономики города/страны активами. Я максимально воздерживаюсь от выстраивания бизнес-отношений с государством и не привлекаю государственное финансирование. Бывает, что приходится проходить установленные государством процедуры для получения нужной бизнесу документации, но я действую, как все в этом рынке, обращаясь к посредникам, умеющим ускорять эти процедуры. Я чувствую себя защищённым, так как в моей телефонной книжке есть несколько телефонов очень больших людей, а с некоторыми из них мы дружим семьями».

– «Я хочу заняться, наконец, своим бизнесом, выйдя из системы, где я был одним из многих. Теперь я работаю только на себя. Я видел, что в той системе, где я был раньше, была служба безопасности, которая защищала систему от криминала и/или от некорректных действий правоохранительных органов. Теперь, плавая один, я тоже хочу не попасть в беду, но финансировать службу безопасности мне точно не по карману, поэтому мне важно понять ключевые опасности, влекущие риски уголовного преследования».

Описав себя таким образом, можно понять, что, от кого и когда нужно защищать, какие бизнес-процессы какие риски создают, как поддерживать жизнеспособность такой корпорации в конкурентной среде и во взаимодействии с органами власти, какие суммы потерь или какие уголовно-правовые последствия потенциально может понести бизнес, если целенаправленно не заниматься вопросами безопасности. Или, говоря иначе, какие затраты на обеспечение безопасности для данной корпорации осмысленны, какие недостаточны, а какие – чрезмерны.

Кто такие безопасники и откуда они берутся

Допустим, наш собственник бизнеса понимает, что защита его бизнесу не помешает. Или даже видит, что без принятия специальных мер его бизнес разорвут разные хищники из конкурентного окружения или нечистоплотные чиновники. А значит, нужно найти человека, которому можно доверить самые тонкие, специфические вопросы, вплоть до личной безопасности, и который при этом умеет хорошо делать свою работу – защищать корпорацию от угроз. Заметим сразу, что это два разных требования к человеку, независимые одно от другого. Требуется именно их сочетание «в одном лице» – все иные варианты не подходят, они не решают проблемы, а создают новые.

Скажем сразу, руководители служб безопасности корпораций – это в 90% случаев бывшие силовики, то есть выходцы из разных правоохранительных органов или спецслужб. Или военные. Не станем утомлять читателя пересказом учебника «Правоохранительные органы» с первого курса юридического факультета, где перечисляются все эти организации и их задачи. Но что у этих людей между собой общего, рассказать следует.

Итак, какие хард-скиллз (hard skills) имеются у них?

Во-первых, это, как правило, хорошая юридическая подготовка в области уголовного права и процесса. Дополнительно – знание нормативных правовых актов в той сфере, которую они курировали, находясь на службе: какой-либо из видов надзора для работников прокуратуры, какая-то линия для оперативных сотрудников: например, кредитно-финансовая сфера, конкретные виды экономических или иных преступлений, знание специфики работы конкретных предприятий или отраслей экономики. Пожалуй, стоит повторить: о том, что происходит в поле уголовного права, они знают все. А вот гражданское право – только те, кто имел соответствующий опыт. Человек, проработавший в ГИБДД даже на высокой должности или руководивший отделом полиции, имеет о гражданском праве чаще всего довольно поверхностное представление.

Во-вторых, это (для бывших оперативных сотрудников) знание и опыт оперативно-разыскной, разведывательной или контрразведывательной деятельности. Это очень специфический навык и понимание, которого нет у подавляющего большинства граждан и бизнесменов. Есть, конечно, представления из литературы и кино: от детективных романов и фильмов про агента 007 до сериалов про полицейских на любой вкус, но, поверьте, реальность намного сложнее и богаче. Если не уходить глубоко в суть, основной смысл этого навыка – умение работать с людьми и информацией, в том числе довольно творческими способами, которые не всегда могут восприниматься как этичные.

Как ни странно, на этом список «хард-скиллз» заканчивается.

Однако начинается не менее интересный перечень, так сказать, «софт-скиллз» (soft-skills).

Какие из них важны для владельца бизнеса, выбирающего руководителя СБ?

Помните, как спрашивали в начале 90-х, наверное, во всех дворах всех городов «серьёзные» парни новых парней, попадающих на их территорию: «Ты откуда? Кого знаешь?» Вот и в нашем случае первостепенное значение очень часто имеют два обстоятельства.

А. Из какой именно структуры выходец – начальник СБ: ФСБ России, прокуратура, МВД России и т. д. Отметим, что прошлая принадлежность к той или иной структуре может стать как преимуществом, так и недостатком при трудоустройстве такого человека. Иной владелец бизнеса никогда не возьмёт выходца из определённой структуры на работу. Причин такой неприязни может быть много, но чаще всего – личный опыт взаимодействия с правоохранительными органами.

Б. Какими связями обладает прямо сейчас или до кого потенциально «может дотянуться» начальник СБ для решения задач бизнеса или «снятия боли». Чаще всего владелец бизнеса, нанимая руководителя СБ, смотрит именно на это, потому что уже что-то в бизнесе «болит» и что-то нужно решить «уже вчера».

А вот другие «софт-скиллз»:

В. Умение работать в команде, «перековать мечи на орала» и стать частью бизнеса. Здесь есть очень важный момент, лежащий в области психологии власти или, можно сказать, социальной психологии. Люди в погонах, кураторы, лица, осуществляющие контрольно-надзорные функции, – это люди, привыкшие мыслить так, что от их воли, распоряжения, акта, решения будет завесить судьба человека, большого количества людей и, конечно, бизнеса. Они являются представителями государства, имеющего, как мы знаем, монополию на государственное принуждение, и видят себя носителями этой власти: власть делегируется им вышестоящим начальством и даётся им для того, чтобы «делать другим больно», принуждать к соблюдению правил и наказывать за их нарушение. Лояльность начальству – главное достоинство подчинённого, она должна простираться гораздо дальше формальных требований службы. Более того, в их понимании, у всякого правильного человека есть такое начальство, которому он должен быть лоялен без ограничений. При этом даже по собственному личному опыту они знают, что в реальности подчинённые всегда хитрят и стремятся нарушить лояльность начальству к собственной выгоде. Эти возможности надо обнаруживать и пресекать.

Попадание человека с подобным мировоззрением в среду частного бизнеса неизбежно вызывает у него первоначальное недоумение, то, что называют «когнитивным диссонансом». Понятно, что человек с хорошим и неокаменевшим умом постепенно преодолевает этот диссонанс, но в любом случае это происходит не в одночасье и не факт, что в полной мере.

Для многих таких людей бизнес – это «комерсы», то есть люди, по непонятной причине решившие заработать не как все, а с риском и много. Не столько, сколько «положено» или разрешено, а как бы без каких-то ограничений вообще. У них нет начальства, которому они должны быть лояльны. А раз так, то они точно алчные, непорядочные, заслуживающие самой серьёзной формы госконтроля и желательно – наказания. Выходцу из силовой структуры приходится бороться внутри себя с подобным видением, которое входит в явное противоречие с реальностью его нынешней трудовой деятельности, которая теперь его кормит. Осознать, что именно бизнесмены – основной драйвер экономики, источник налогов для содержания госаппарата, работодатель для многих людей, и вообще, частный бизнес – это и есть основная форма существования людей в стране, ради удобства которой, вообще говоря, и организовано государство, – чаще всего сложная задача для сознания правоохранителя. Стать на позицию понимания бизнеса и его потребностей, признав за ним право на ошибки, понимания значимой социальной роли – это практически революция сознания для их большей части, например, для бывших оперативных работников. На эту революцию нужно время. Поэтому иногда бизнесмен берёт на роль руководителя СБ человека не сразу «из-под погон», а хотя бы немного обжившегося в мире частного бизнеса. Такие люди быстрее встраиваются в команду, точнее и корректнее определяют место функции СБ в бизнес-процессах компании, не тянут одеяло на себя и не стремятся выявить негодяев в тех местах, где их нет. Это ещё одно важное свойство частного бизнеса, незнакомое безопасникам по прежнему опыту: даже самый зарегламентированный частный бизнес основывается на взаимном доверии сотрудников. Полностью устранить доверие, заменив его контролем, – значит убить бизнес. Большой головной болью для собственника бизнеса являются те безопасники, которые во всех коллегах ищут и, конечно, быстро находят врага, противника, которого необходимо побороть и вывести на чистую воду. Или которые начинают писать положения и регламенты «под себя», с пеной у рта обосновывая важность и значимость функции безопасности, вокруг которой крутится весь бизнес. Поэтому правильная, сбалансированно встроенная в достаточные и необходимые бизнес-процессы компании функция СБ – важная составная часть успеха и эффективности этой функции.

Г. Личная порядочность и лояльность владельцу бизнеса. Это самый сложный аспект выбора руководителя СБ и самая трудная головоломка для бизнесмена. Ошибка определения системы координат в понимании, кто свой, а кто чужой, приводит часто к существенным убыткам бизнеса вплоть до личных проблем уголовно-правового характера у владельца или топ-менеджеров. Понятно, что выбор руководителя СБ реже всего происходит через поиск кандидата в Head Hunter, то есть «по объявлению». Чаще всего бизнесмен делает выбор из так или иначе непосредственно знакомых ему людей, начиная с тех, с кем вместе учились в школе. Распространён вариант, когда предложение делается человеку в погонах, который по каким-то причинам помог в сложной ситуации, проявил себя с порядочной и профессиональной стороны. Иногда – кому-то из среды «друзей друзей» с надлежащими рекомендациями и гарантиями от близких. Мы не будем останавливаться в данной книге на тех структурах, где службы СБ возглавляют действующие прикомандированные сотрудники силовых органов. Речь пойдёт только о категории бывших сотрудников или о довольно пока редкой категории профессионально подготовленных специалистов корпоративной безопасности, вообще без опыта службы в органах или вооружённых силах. Личная порядочность и лояльность владельцу бизнеса «на входе» – это дружеские или близкие к таковым отношения с руководителем СБ. Конечно, эти отношения очень важно сохранять такими, развивать их, а также вовремя предвидеть и нивелировать конфликты, устранять недосказанность, проговаривать взаимные ожидания, которые после накопления взаимных ошибок перерастают в претензии и корпоративные войны, в том числе с разоблачением схем, выливанием компромата и т. п.