Корпоративная безопасность, как бизнес-процесс

От автора

Я не вполне обычный "безопасник". В промежутке между работой в государственной и коммерческой службах безопасности, мне довелось в течение почти пяти лет заниматься закупочной деятельностью, складской и транспортной логистикой (в том числе международной).

Проведение тендеров, взаимодействие (не всегда бесконфликтное) с контрагентами подарили уникальный опыт, а главное, совершенно иной взгляд и понимание безопасности, не с позиции уголовного кодекса, а с точки зрения влияния на бизнес и его результаты.

С тех пор рассматриваю «безопасность», как бизнес-функцию, основная задача которой заключается в позитивном влиянии EBITDA1, посредством сокращения потерь от фрода и неэффективности. И, конечно, сама служба безопасности (СБ) должна иметь положительный P&L2! В этом случае, обеспечение безопасности превращается в бизнес-процесс, где роли распределены, операции регламентированы и увязаны с активностями других функций (дирекций).

В результате «безопасность» перестает жить для себя и сама по себе, а превращается в часть производственного процесса Компании.

В настоящем издании содержится результат эволюции идей, изложенных автором ранее в книге «Как обеспечить безопасность бизнеса, если Вам лень этим заниматься», но с учетом специфики предприятий, непосредственно управляемых отцами-основателями, частично раскрытой в другой – «Бизнес по понятиям или как выжить наемнику в частной компании». Учитывая, что не все читатели знакомы с ними, некоторые тезисы и примеры будут повторяться для сохранения связности повествования.

Книга может быть полезна, как действующим сотрудникам или руководителям подразделений безопасности в качестве пособия, так и лидерам бизнеса для понимания потенциала и путей повышения эффективности использования, подчиненных СБ.

Что такое корпоративная безопасность

Wikipedia определяет «безопасность», как состояние защищенности…. Но иногда, угрозы бывают незримыми – неэффективные затраты, утечки чувствительных данных могут происходить дни, месяцы и годы до того, как будут выявлены.

То есть, мы можем пребывать в уверенности, что защищены, но на самом деле это будет не так. Именно поэтому очень важно разделить понятия «ощущение» и «состояние» защищенности.

В отличие от ощущения, состояние защищенности материально, его можно создать, а результаты измерить.

В общем случае, служба безопасности должна оказывать влияние на благополучие Компании, сокращая ее затраты, путем возмещения ущерба, предотвращения потерь, а также неэффективных расходов.

Последнее, особенно важно. Большинство «безопасников», по привычке продолжают мыслить и классифицировать происшествия по статьям уголовного кодекса: «Кража», «Присвоение и растрата», «Коммерческий подкуп» и т.д. Однако, если отталкиваться не от УК РФ, а от факта наступления потерь, оказывается, что из поля зрения СБ выпадают до 80%, заслуживающих внимания историй. Случается, что все участники процесса добросовестно выполнили свои обязанности, а убыток возник. Причем, умысла на нанесение вреда предприятию ни у кого из них не было. При детальном изучении оказалось, что какая-то операция не была выполнена, так как отсутствовало лицо, которому она была бы поручена, либо риск потерь в этой точке процесса не рассматривался.

Получается, что безопасность – это не только организация постов охраны, внедрение систем видеонаблюдения, управления доступом и установка «антивирусов» на рабочие станции, но и эффективный инструмент управления рисками, позволяющий выявлять системные проблемы и уязвимости в бизнес-процессах.

Обобщив, можно выделить четыре основных причины потерь:

Умышленные действия сотрудников или третьих лиц, противоречащие требованиям Законодательства или внутренних нормативных актов Компании (только для сотрудников), в результате которых причинен ущерб (в данном случае нам не важно был ли направлен умысел на личное обогащение или нет, рассматриваем только угрозы предприятию).

Уязвимость бизнес-процесса, когда (как описано в примере выше) все участники в полном объеме исполнили свои функции, однако, потери возникли, так как защитные мероприятия оказались недостаточными (неэффективными), либо не были предусмотрены вовсе.

Кросс-функциональная несогласованность – когда условия начала следующего процесса не совпадают с финальными параметрами предыдущего, участники обоих в полном объеме исполнили свои функции, а на стыке полномочий возникла «серая зона», где и случились потери.

Недостатки планирования – когда убытки возникают там, где такая возможность не предполагалась. Чаще всего, кейсы такого типа фиксируются при маркетинговых активностях или запуске новых продуктов, когда продуктовая команда не проработала в достаточной степени вопросы безопасности.

Классические «безопасники», опираясь на свой опыт работы в правоохранительных органах рассматривают только первую причину, игнорируя остальные, так как считают, что раз виновное лицо отсутствует, то проблема лежит вне зоны их ответственности.

Чтобы охватить все источники возникновения потерь и убытков, процесс обеспечения безопасности можно разбить на несколько простых этапов:

Нормотворчество – разработка (актуализация) внутренних нормативных документов Компании, регламентирующих вопросы безопасности.

Внедрение (совершенствование) контролей безопасности в наиболее рисковые операционные процессы.

Профилактические мероприятия – обучение персонала элементарным правилам информационной безопасности, порядку обращения со сведениями, составляющими коммерческую тайну, персональными данными, товарно-материальными ценностями.

Мониторинг контрольной среды – систематический контроль измеряемых значений и оценка соблюдения участниками бизнес-процессов требований ВНД), сравнение их с эталонными значениями (нормативами или ВНД).

Выявление и отработка инцидентов безопасности – регистрация отклонения от нормального состояния какого-либо операционного процесса (нарушение требований Регламента, Положения, Должностной инструкции, расхождение данных учета и фактического наличия товарно-материальных средств и т.п.).

Идентификация риска – имеются ли в инциденте признаки системных проблем, то есть существует ли вероятность его повторения в другом месте с другим составом участников.

Оценка риска – цена (сколько уже потеряли, сколько можем потерять в будущем), степень влияния на непрерывность/устойчивость бизнеса, вероятность реализации (для потенциальных рисков), предварительная стоимость мероприятий по закрытию (снижению) риска.

Выработка стратегии управления риском – избежание/передача/снижение/принятие.

Реализация митигирующих мероприятий и/или защитных мер.

Постконтроль – мониторинг эффективности реализованных митигирующих мероприятий, выявление возможных признаков повторения риска.

Аналитика – изучение выявленных рисков с точки зрения быстроты их выявления и идентификации, выработка и реализация мер по улучшению качества мониторинга инцидентов.

Оценка работы подразделения безопасности и его сотрудников.

Переход к п.1.

Как мы видим, деятельность по обеспечению безопасности циклична и при правильной организации может представлять собой самостоятельный бизнес-процесс.

Однако, чтобы эта штука заработала необходимо заручиться поддержкой руководства Компании для выполнения нескольких условий:

Стратегическое планирование. Безопасность должна быть включена в общую стратегию развития компании и обеспечена необходимыми ресурсами для совершенствования собственных процессов и контролей.

Интеграция с другими функциями. Контроли безопасности необходимо встроить в бизнес-процессы других дирекций.

Автоматизация процессов. Мониторинг больших массивов данных с генерацией оповещений об отклонениях и автоматическая блокировка нежелательных или опасных действий (как пользователей информационных ресурсов, так и финансовых операций).

Регулярный аудит и улучшение. Постоянный анализ текущих мер безопасности и их совершенствование помогают поддерживать высокий уровень защиты и адаптироваться к новым угрозам.

И, конечно, для того, чтобы ощущение защищенности стало состоянием, требуется определить подразделению безопасности значимые для бизнес-заказчика цели, оценочные метрики и инструменты для их измерения.

Предпосылки

Любой человек в процессе своего роста и развития проходит несколько этапов: детство, юность, зрелость и старость и для каждого из них необходим собственный подход к обучению, воспитанию и управлению.

Маленькому ребенку можно сказать «сделай то-то», и он сделает. Авторитета родителя или воспитателя будет достаточно. Подростку уже следует объяснить зачем это делать и почему именно на него возложена такая задача. Взрослый совершает требуемые действия осознанно и самостоятельно.

Похожие метаморфозы происходят и с Компаниями.

На «детском» этапе, всем управляет и принимает все решения собственник лично. Он готов воспринимать и реализовывать новые идеи, но все еще в ручном режиме, точечно и бессистемно. Горизонт планирования не превышает нескольких месяцев.

«Подростковый» этап характеризуется ростом масштаба бизнеса, физической неспособностью собственника уследить за всеми процессами, при сохраняющихся попытках всем управлять и во все вникать лично. Иногда принимаются на работу опытные управленцы, но полномочия им не делегируются, что не позволяет изменить ситуацию. Горизонт планирования 1-3 года, но текущие (месячные, квартальные) планы со стратегическими целями, как правило, не увязаны.

«Зрелость» – преодоление подростковых проблем. Выстраивание многоуровневой иерархии, закрепление за менеджерами зон ответственности, делегирование полномочий, внедрение процессного подхода управления бизнесом. Есть видение развитие Компании и десятилетия и четкие цели на 3 года, увязанные с текущими планами.

«Старость» – управленческая иерархия усложнена, процесс принятия решений бюрократизирован, сложная система бизнес-отчетности в большей степени отражает ожидания топ-менеджмента, а не реальное положение дел. Все изменения спланированы на десятилетия вперед и корректировка целей невозможна, либо сильно затруднена.

Можно предложить и более развернутую структуру жизненного цикла Компании, например, бизнес-консультант и основатель Adizes Institute Ицхак Адизес выделяет целых десять этапов.

В нашем случае, требуется всего лишь понять, на каком этапе возможно выстраивание системы безопасности предприятия в виде бизнес-процесса.

Исходя из предложенной упрощенной классификации, в «детских» и «подростковых» Компаниях такие попытки скорее всего будут обречены на неудачу, так как у собственника еще не сформировалась соответствующая потребность и, зачастую, масштаб бизнеса уже выходит (или вышел) за границы его восприятия.

«Старые» Компании закостенели в своих подходах и «старая гвардия» не допустит потрясений, особенно, в таком консервативном подразделении, как Дирекция безопасности.

Организации, на пороге зрелости, как раз то, что надо!

При этом, совершенно логично, что бизнес-процессы выстраиваются в первую очередь в «профитных» дирекциях, то есть там, где генерируется прибыль. Вспомогательные функции могут пребывать в подростковом или даже детском состоянии еще долгие годы – до них просто не доходят руки управленцев уровня МВА, а местных руководителей все устраивает.

Так нужна ли Компаниям корпоративная безопасность, организованная в формате бизнес-процесса?

Полагаю, что да! Учитывая, что деятельность любого предприятия циклична, а бизнес-процесс – это стандартный и повторяемый набор действий, который использует Компания для получения результата, то и активности Дирекции безопасности имеют повторяющийся характер.

В качестве иллюстрации…

Одним из направлений деятельности подразделений безопасности является проведение расследований по фактам происшествий. Если рассматривать каждый инцидент в контексте бизнес-процессов, то есть искать не только ответ на вопрос «Кто виноват?», но и «Что сделать, чтобы подобное не повторилось?», то можно выявить, а затем и устранить уязвимости в них. Проведение расследований, а также анализ и обобщение их результатов – постоянная цикличная активность, которая может и должна стать частью организованного, описанного и закрепленного внутренними нормативными документами бизнес-процесса Дирекции безопасности.

Или работа по возвращению проблемной дебиторской задолженности.

До того момента, когда дебиторская задолженность (ДЗ) становится безнадежной, она сначала бывает сверхнормативной (выходящей за временные рамки, установленные договором) и проблемной (когда разумные сроки ее возвращения истекли, а досудебное взаимодействие с контрагентом-должником результатов не принесло).

В большинстве случаев, причинами возникновения ДЗ, становятся:

некачественная проверка потенциального контрагента на риски взаимодействия;

игнорирование менеджментом установленного высокого (повышенного) риска взаимодействия;

необоснованное применение предоплатой формы расчетов (излишний оптимизм и пренебрежение мерами должной осмотрительности);

отсутствие контроля за исполнением договорных обязательств со стороны линейных менеджеров и их руководителей;

неэффективность контроля за накоплением дебиторской задолженности со стороны финансового подразделения и бухгалтерии предприятия;

несвоевременное принятие мер по взысканию накапливающейся задолженности контрагентов в досудебном порядке.

Наличие сверхнормативной дебиторской задолженности, в большинстве случаев, является следствием упущений в организации договорной работы, начиная с момента выбора контрагента (поставщика), определения формы расчетов и заканчивая приемкой работ или услуг.

Предпосылки к ее возникновению и накоплению могут складываться на всех этапах договорного взаимодействия, а, следовательно, необходимо включение мероприятий по обеспечению безопасности на каждом из них.

Поскольку договорная работа осуществляется снова и снова, то и участие СБ является повторяющимся процессом.

Совокупность цикличный активностей Дирекции безопасности – ее бизнес-процесс.

Сложности внедрения

Сложности внедрения изменений являются обратной стороной предпосылок к ним.

Как и любое другое начинание, перестройка функции обеспечения безопасности в бизнес-процесс на первом этапе неизбежно вызовет отторжение.

Причем, это может проявиться как со стороны сотрудников СБ, так и у заказчика сервиса – руководителя или акционеров Компании. Причиной тому стереотипы, привычки и инертность.

Порой, из тщеславия бизнесмены приглашают возглавить безопасность ушедшего на пенсию генерала или большого начальника из МВД, ФСБ, либо других подобных организаций. Как правило ценность таких кадров, заключается (и ограничивается) их административным ресурсом, а подчиненный аппарат создается, чтобы руководителю было кем управлять.

Соответственно, в таких случаях от СБ не требуют каких-либо конкретных действий или системной работы. Руководитель подразделения безопасности периодически докладывает Главе компании о своих успехах и такие встречи, скорее всего, не имеют четкой повестки, а результаты работы критериев успешности.

Если бизнес-заказчик привык к такому формату взаимодействия и считает его нормальным, формализация и упорядочивание работы Дирекции безопасности, а тем более, включение ее в качестве полноценного участника в коммерческие процессы покажется ему не целесообразной.

Так бывает в «подростковых» Компаниях, когда инициатором изменений становится вновь назначенный Директор по безопасности. Потребуется много сил и времени, чтобы убедить Генерального директора и/или акционеров в возможности и, главное, необходимости таких действий.

При этом, в случаях, когда они рассматривают «безопасников» исключительно, как цепных псов, готовых по первому требованию вцепиться в глотку тому, на кого укажут или «решал», взаимодействующих с правоохранительными и надзорными органами, то перспективы внедрения бизнес-ориентированного подхода обеспечения безопасности туманны, а «жизненный цикл» в Компании того, кто его предлагает короток.

Если Глава Компании или акционеры становятся инициаторами перенастройки функции безопасности по процессному принципу, может наблюдаться противоположная ситуация. Уже морально устаревший Директор по безопасности будет саботировать изменения, поскольку не в состоянии понять их смысл.

Необходимо учитывать, что подразделениями безопасности руководят выходцы из силовых структур (ФСБ, МВД, МО, СК и т.п.), обладающие богатым управленческим опытом, навыками организации и проведения расследований, а также охранных мероприятий. При этом, многолетняя служба в государственных структурах наложила на их мировосприятие определенный отпечаток и сформировала формат мышления, не всегда отвечающий потребностям бизнеса.

Даже сняв погоны, эти люди продолжают классифицировать все инциденты в соответствии со статьями уголовного кодекса: «взятка», «кража», «присвоение и растрата», «коммерческий подкуп» и т.д.

То есть безопасность обеспечивается постфактум, когда уже нежелательное событие произошло.

В качестве профилактической работы руководители СБ собирают сотрудников коммерческих подразделений и нахмурив брови рассказывают им о количестве возбужденных уголовных дел, осужденных и уволенных с позором лиц.

В этом случае скорее всего потребуется замена руководителя СБ, на того, кто понимает, что:

в отличие от государственных органов, служба безопасности коммерческой организации не преследует целей обеспечения торжества законности, социальной справедливости или неотвратимости наказания. Принцип «Вор должен сидеть в тюрьме», не лежит в основе ее философии.

задача негосударственной СБ – в пределах своих полномочий сделать бизнес эффективней.

препятствия к процветанию могут не иметь признаков уголовного правонарушения или дисциплинарного проступка, а заключаться в уязвимости бизнес-процессов.

Таким образом, если в Компании сформировались предпосылки и потребность в трансформации функции безопасности, то дальнейшие действия укладываются в довольно простую последовательность: Как сейчас? (As Is) – Как должно быть? (To Be) – Как из «как сейчас» сделать «как должно быть»? (How)

Как правило, задачи по трансформации предлагается решить вновь принятым руководителям. В этом случае выделенные этапы можно привязать к испытательному сроку:

Личные риски