Корпоративная безопасность, как бизнес-процесс

Перед тем как приступить к решению амбициозной задачи построения системы безопасности необходимо понять какими силами и средствами мы располагаем, что хорошо, чего не хватает, какие участки следует трансформировать (создавать с нуля) немедленно, а какие можно сохранить в неизменном виде.

Скорее всего, Ваша Компания уже существует на рынке некоторое время, в ее структуре имеется какая-то служба безопасности, поэтому в первую очередь необходимо зафиксировать текущее положение (As Is), то есть провести мини-аудит функции.

В рамках этого мероприятия целесообразно исследовать следующие вопросы:

наличие и актуальность внутренних нормативных актов, регламентирующий деятельность Дирекции безопасности (в том числе, определяющих цели ее деятельности и критерии оценки результативности);

удовлетворенность работой функции со стороны бизнес-заказчика и внутренних клиентов (акционеров и руководителей бизнес-направлений, директоров филиалов и обособленных подразделений), посредством проведения интервью, опросов или анкетирования;

степень участия Дирекции безопасности в наиболее рисковых с точки зрения вероятности злоупотреблений и материальных потерь процессах (закупки, движение товарно-материальных средств, претензионная работа с контрагентами).

соответствие организационно-штатной структуры Дирекции безопасности решаемым задачам;

наличие, достаточность и уровень квалификации персонала СБ на каждом направлении деятельности;

текущее состояние организации работы по каждому направлению.

Правильнее всего сформулировать свои наблюдения в виде презентации.

При этом, выводную часть следует разместить вначале (не у каждого руководителя хватит терпения дождаться финала).

Форма и наполнение могут быть любыми, но лучше придерживаться описанной выше структуры.

Для наглядности здесь и далее, предлагаются варианты документов и управленческих решений, разработанных для гипотетического ООО холдингового типа «Рога и копыта»3:

Сводное резюме

Обеспечение физической безопасности

Обеспечение экономической безопасности

Ключевые наблюдения

Сводное резюме

Приоретность необходимых изменений

Получившуюся презентацию предъявляем работодателю (генеральному директору или акционерам, в зависимости от принятой в Компании системы управления).

Как правило, лица принимающие решения не слишком глубоко погружены в специфику работы подразделения безопасности, поэтому очень важно, чтобы руководитель направления представил свои наблюдения лично, сопроводив комментариями и попутно отвечая на вопросы.

Скорее всего, аудитория будет удивлена тому, что увидит и услышит так как, либо пребывала в неведении относительно реального положения дел или, что более вероятно, не задумывалась о наличии проблем на данном участке.

Однако, не стоит обольщаться, проведенный мини-аудит в первую очередь необходим руководителю функции безопасности для формирования ясной картины текущего состояния, а ценность предъявления руководству Компании заключается в синхронизации видения и уточнения направлений развития.

Оценив исходные данные (As Is), можно приступать к выработке понимания целей, которые мы намерены достичь в процессе обеспечения безопасности (To Be) и путей, ведущих к ним.

Но не мене важно провести самоидентификацию Дирекции безопасности, то есть ответить на вопросы: «Кто мы и зачем?».

Результат этих размышлении будет сильно зависеть от Вашего предыдущего опыта, специфики предприятия и ожиданий акционеров.

Если повезло и достигнут консенсус о необходимости выстраивания системной работы и современной бизнес-ориентированной функции безопасности, то видение образа и задач СБ, может выглядеть так…

Цель нашей Компании

– извлечение прибыли. Основной показатель ее эффективности EBITDA. Чем он больше, тем лучше. Значит, задача всех структурных подразделений компании, включая Безопасность, этому способствовать.

Роль Дирекции Безопасности

– сокращение расходов, влияющих на EBITDA, путем уменьшения потерь от противоправных посягательств и неэффективности.

Тогда, применительно к Дирекции безопасности:

Миссия

– мы являемся подразделением, обеспечивающим физическую и экономическую и информационную безопасность коммерческой деятельности Компании (акционеров, ТОП-менеджмента, дочерних и зависимых обществ).

Наша цель

– улучшение финансовых результатов Компании через сокращение потерь и неэффективных расходов, возникающих в следствие противоправных действий и/или несовершенства бизнес-процессов.

Наш продукт – технология по обработке, анализу и решению инцидентов безопасности, обеспечивающая возмещение убытков и, создающая условия для их предотвращения.

Видение будущего в горизонте 3-х лет

все подразделения безопасности перешли на единый формат активностей, гарантирующий прозрачность и объективность показателей результативности, а также позволяющий оценить эффективность затрат за это направление.

сформирована единая база инцидентов безопасности, позволяющая выявлять риски, оценивать их с точки зрения влияния на бизнес и вероятности реализации.

на основе анализа накопленных знаний, сформирован реестр рисков, выработаны и реализуются мероприятия по их снижению.

Индикаторы здоровья

максимизация экономического эффекта от деятельности подразделений безопасности (позитивного влияния СБ на финансовые результаты Компании) и его рост год к году.

максимизация соотношения экономического эффекта от деятельности функции к затратам на обеспечение безопасности.

минимизация потерь Компании от противоправных действий сотрудников и третьих лиц, а также неэффективности бизнес-процессов и несовершенства, регламентирующих их локальных нормативных актов.

Ответив на вопросы философские, самое время перейти в практическую плоскость и ответить на вопрос «как?».

Стратегические цели дирекции безопасности, тактика их достижения и образ желаемого результата представляются следующим образом:

При этом, под инцидентами мы понимаем события (в том числе возможные), связанные с нарушением внутренних нормативных документов, и/или риском/фактом коррупции, внутреннего фрода, информация о котором поступила в подразделение безопасности, требующая уточнения в ходе проверки.

То есть, в качестве инцидента можно рассматривать не только уже случившееся событие, но и то, которое может произойти в будущем так как к этому имеются предпосылки.

В этом случае технология обеспечения безопасности в разрезе направлений защиты может быть сформулирована так:

Физическая безопасность (ФБ). Контроль внешнего (территория) и внутреннего (здания, офисы, производственные и технические объекты) периметров осуществляется посредством постов физической охраны и техническими средствами в круглосуточном режиме, координацию обеспечивает оперативный дежурный Компании, которому подчинены оперативные дежурные на объектах (оперативно-дежурная служба). В случае нарушений, они пресекаются (локально купируются), инцидент регистрируется на специальном ИТ-ресурсе где, в последующем отражается его статус и результат отработки. Сложные инциденты (с признаками системных рисков) передаются в подразделения экономической безопасности для проведения расследования.

Информационная безопасность (ИБ). Контроль внешнего информационного периметра и внутреннего трафика осуществляется посредством технических средств и постов мониторинга (SOC-Security Operations Center). В случае нарушений, они пресекаются автоматически, либо нежелательная активность блокируется вручную администраторами сети (локально купируются), инцидент регистрируется на специальном ИТ-ресурсе где, в последующем отражается его статус и результат отработки. Сложные инциденты (с признаками системных рисков) передаются в подразделения экономической безопасности для проведения расследования.

Экономическая безопасность (ЭБ) – ключевое направление деятельности Дирекции. Все инцидент безопасности регистрируется на специальном ИТ-ресурсе (Базе данных) где, в последующем отражается его статус и результат отработки. По инцидентам, имеющим признаки системных рисков (в т.ч. выявленных другими подразделениями), проводятся корпоративные расследования для установления причин и условий произошедшего, виновных лиц, выявления уязвимости в бизнес-процессах и выработки рекомендаций по их митигации.

Все расследования и их результаты заносятся в Базу данных. По мере накопления информации осуществляется ее анализ, формируется реестр рисков с привязкой к бизнес-процессам, стоимостной и вероятностной оценкой. По результатам разрабатывается и реализуется План митигирующих мероприятий с постконтролем эффективности внедренных корректирующих мер.

Или тоже самое в виде цикличной модели:

Организационно-штатная структура Дирекции безопасности формируется по линейно-территориальному принципу, когда в головном подразделении создаются Центры компетенций (ФБ, ЭБ, ИБ), организующие и координирующие работу профильных сотрудников в филиалах, производственных площадках и иных обособленных объектах по своим направлениям (линиям).

В результате получаем:

Учет, регистрацию и отработку абсолютно всех инцидентов безопасности4 по направлениям работы (ФБ, ИБ, ЭБ) и расследование наиболее сложных из них.

Корпоративные расследования, как единая унифицированная форма отработки сложных инцидентов безопасности и выработки предложений по внедрению корректирующих мер как в отношении виновных лиц, так и по изменению бизнес-процессов.

Накопление информации об инцидентах безопасности, их анализ, выявление системных рисков и уязвимостей в бизнес-процессах, выработка и реализация мер по их митигации.

Сквозное вертикальное функциональное управление по линиям работы (ФБ, ЭБ, ИБ).

Активности и контроли, вне процесса корпоративных расследовании, включая оценку контрагентов на риски взаимодействия, а также проверку кандидатов на работу и действующих сотрудников, рассматриваются как инструменты, направленные на поддержание установленных стандартов безопасности и выявление отклонений от их требований, которые в свою очередь становятся основаниями и поводами для расследований.

Сформированный таким (или иным, верным по вашему мнению) образом взгляд на концепцию обеспечения безопасности, представляем ее руководству Компании и/или акционерам. Для большей наглядности, целесообразно оформить его в виде слайдов. Получив одобрение и учтя замечания руководства, закрепляем предложенный подход в отдельном ВНД, то есть фиксируем образ результата и направление дальнейшего движения.

В соответствии с предлагаемой концепцией, служба безопасности может и должна оказывать влияние на EBITDA, путем возмещения ущерба, предотвращения потерь, а также неэффективных расходов.

Поскольку EBITDA измеряется в деньгах, именно в них следует определять цели СБ и измерять эффективность ее работы.

Куда целиться

Обычная, принятая в большинстве компаний классификация, предусматривает три вида убытков: выявленный, возмещенный и предотвращенный.

Исходя из нее, верхнеуровневые цели Дирекции безопасности можно сформулировать, как:

Выявление ущерба, нанесенного в результате противоправной деятельности, неэффективности или уязвимости бизнес-процессов;

Возмещение уже нанесенного ущерба (убытка);

Предотвращение возможных потерь, включая упущенную выгоду и сохранение выручки.

С учетом специфики и сложившейся практики, показателям может быть присвоено количественное значение в абсолютных или относительных (сравнительных) величинах (деньги, %, соотношение год к году).

Желательно, чтобы все подразделения безопасности холдинга имели одинаковые цели. Если специфика дочерних обществ не позволяет этого, то как минимум, выраженные в одинаковых единицах измерения.

Как измерять

В результате проведения унификации и стандартизации, все подразделения безопасности подчинены единым требованиям по содержанию работы и ее учету, благодаря чему, мы имеем набор типовых показателей, рассчитанных по единым правилам. Теперь их можно сравнивать и анализировать.

При этом, важно учитывать некоторые особенности:

Выявленный ущерб (убыток) – потери, которые наступили фактически. Их очень легко посчитать и подтвердить (акт инвентаризации, справка об ущербе).

В части утрат материальных (физических) активов, этот показатель может служить косвенным критерием эффективности СБ, так как чем надежнее система безопасности, тем труднее совершить хищение. То есть, чем он меньше, тем лучше, особенно если наблюдается ниспадающая динамика год к году.

В части экономических правонарушений или неэффективных затрат, подобный анализ уже не работает, потому что такие потери не материальны и зачастую не очевидны, не отражены в бухгалтерский отчетности. Более того, для их обнаружения требуются значительные усилия и высочайшее профессиональное мастерство сотрудников СБ.

При этом, если в качестве цели установить снижение показателя «выявленный ущерб» год к году, то возникает риск, что работники будут стремиться не регистрировать «дорогие» инциденты, чтобы не портить свою отчетность.

Аналогично с целевым показателем «коэффициент покрытия ущерба», как соотношения выявленного убытка к возмещенному. Он отлично работает применительно к контрольно-ревизионной деятельности, но при обеспечении безопасности договорного взаимодействия, наоборот, может принести вред, так как инциденты, возмещение по которым невозможно или маловероятно, по той же причине не будут попадать в отчетность Дирекции безопасности.

Таким образом, с целеполаганием в этой части необходимо действовать крайне осмотрительно. Для формирования полной и объективной картины, важно, чтобы данные о происшествиях и потерях были достоверны.

Цели в части «выявленного ущерба» можно устанавливать только сотрудникам, контролирующим сохранность материальных (физических) активов, а для остальных использовать его значения только для аналитики.

Возмещенный – активы, утраченные фактически, но, благодаря усилиям СБ возвращенные владельцу. Подсчет и подтверждение бухгалтерскими документами так же не вызывает трудностей.

В части утрат материальных активов, сравнение выявленного и возмещенного убытков формирует коэффициент покрытия потерь. Чаще используется в рознице или логистике. Считается, что, если он превышает 0,6 (из каждых 100 потерянных рублей, возмещено 60 и более), это хорошо.

Предотвращенный – активы, которые были бы неизбежно утрачены, но сохранены в результате активностей службы безопасности.

Последний – самый сложный в расчете и неоднозначный в восприятии показатель. Потери не наступили, поэтому, масштаб убытка с точностью определить нельзя. Тем более мы достоверно не знаем, какова вероятность наступления самого факта утраты материальных ценностей. Может быть этого бы никогда и не случилось. А если и случилось, было бы потеряно все или только часть?

То есть, не только величина расчетная, но и вероятность события с точностью не установлена.

При этом, при оценке масштаба предотвращенного убытка, СБ стремиться сделать расчет на основании самого негативного сценария, чтобы повысить ценность своей работы. Бизнес-функция, потери которой сохранены, напротив, исходит из нулевой вероятности события, либо считает по минимуму, не желая подтверждать недостатки в своих процессах и контролях. Расхождения между такими оценками могут составлять десятки миллионов рублей.

В дальнейшем, при попытках СБ предъявлять свои расчетные значения предотвращенного убытка, бизнес относится к ним с недоверием, как к виртуальным показателям, не имеющим отношения к реальности, что обесценивает и всю остальную отчетность функции безопасности.

По этой причине некоторые компании вовсе отказались от учета предотвращенного убытка, но этот путь ошибочен, так как теперь сотрудники безопасности ожидают, пока убыток станет выявленным, чтобы иметь возможность его возместить (теряется профилактика и предиктивность).

Решением видится согласование с ключевыми бизнес-функциями и финансовой службой порядка расчета предотвращенного убытка, то есть формирование единых, признаваемых всеми участниками процесса, правил. Как вариант, через призму бюджета компании или функции.

Например, предприятие несло затраты, которые были забюджетированы. Дирекция безопасности доказала, что их можно сократить или обнулить. Разница между запланированными расходами и фактическими составят БЮДЖЕТНУЮ ЭКОНОМИЮ – то есть деньги, которые неизбежно утрачены (израсходованы), но сохранены в результате активностей службы безопасности.

Или, наоборот, в связи с некими обстоятельствами, возникает потребность в новых расходах, их размер рассчитывается, а выделение финансирование согласовывается. Функция безопасности в пределах своих полномочий проводит работу, которая помогает сократить или исключить сверхбюджетные затраты. Возникает экономия.

Расчет предотвращенного убытка через БЮДЖЕТНУЮ ЭКОНОМИЮ позволяет с точностью до копейки определить размер сохраненных активов и подтвердить эти суммы бухгалтерскими документами, что повышает прозрачность и достоверность показателей СБ.

После того, как порядок классификации убытков и определения их размера определены и признаются, как достоверные и прозрачные, можно ввести показатель, отражающий эффективность работы функции безопасности.

Как оценивать

В качестве ключевой метрики эффективности СБ, предлагается использовать «Экономический эффект» (ЭЭ), определяемый, как сумма возмещенного и предотвращенного убытков/бюджетной экономии.

В дальнейшем, это показатель можно сопоставлять:

с затратами на безопасность

с выявленным убытком:

Введение единого и объективного показателя (ЭЭ), кроме того, позволяет провести ранжирование сотрудников внутри подразделений безопасности (накопительным итогом за год):

… или в моменте (по состоянию на текущий месяц), а также индивидуальный вклад каждого в результаты службы:

Расчет затрат компании на текущий месяц определяется как отношение усредненного годового ФОТ на 1 сотрудника к количеству месяцев в году, умноженное на порядковый номер текущего месяца: ФОТ1 / 12 х N, где N – порядковый номер месяца (январь -1, февраль-2,.. ноябрь-11).

Например, специалист СБ получает на руки зарплату в размере 60 000 руб. Сумма налоговых, страховых и прочих отчислений составляет округленно 40 %. Итого работник стоит компании 100 000 руб. в месяц или 1 200 000 руб. в год. Чтобы определить затраты предприятия на его содержания по состоянию на июнь 1 200 000 /12 х 6 = 600 000 руб. Таким образом, для достижения Порога рентабельности показатель ЭЭ данного работника так же должен составлять 600 000 руб.

Если показатели сотрудника расположены левее Порога рентабельности, значит на сегодняшний день он получил от компании больше, чем принес ей пользы. Однако, чтобы принять решение о необходимости корректирующих мер, руководителю службы необходимо учитывать содержание и ожидаемый результат, проведенных этим специалистом мероприятий, так как эффект от его работы может быть отложенным во времени. Тем не менее уже к исходу первого полугодия, желательно, чтобы все члены команды показали, хотя бы нулевую рентабельность, а далее только положительную.

Текущее ранжирование целесообразно доводить до подчиненных хотя бы один раз в неделю.

Чтобы не перегружать коллектив управленческим воздействием, в некоторых компаниях используется формат еженедельного дайджеста службы безопасности, куда включаются новости службы, лучшие практики, указания и распоряжения общего характера и, конечно, результаты работы службы.

Так же по значению экономической эффективности можно анализировать динамику работы СБ год к году:

Для сравнения подразделений безопасности между собой можно использовать среднее значение ЭЭ на одного сотрудника:

В результате предлагаемых мер, образ результата должен выглядеть так:

Активности службы безопасности, не имеющие денежного выражения, такие как применение мер дисциплинарного воздействия, увольнения, подача заявлений в правоохранительные органы, возбуждение уголовных дел, осуждение сотрудников компании, либо третьих лиц, учитываются в статистике, но на ранжирование сотрудников и подразделений не влияют. Рассматриваются, как инструменты для достижения экономического эффекта.

Более того, их можно рассматривать как характеристику активности работника.

То есть, если у сотрудника высокие показатели в этом блоке при низком значении Экономического эффекта, это означает, что он активен и работоспособен, но неверно расставляет приоритеты. Необходимо оказать помощь и скорректировать его работу.

Если, и нематериальные результаты активностей, и экономический эффект низкие, то мы имеем дело с человеком, который не настроен на работу, лучше его заменить.

Для кейсов или расследований, в результате которых внесены изменения в нормативную базу, бизнес-процессы или митигирован системный риск, если при этом невозможно точно определить его стоимость или размер предотвращенного убытка, может быть введен дополнительный признак, проставляемый вручную, который также будет учитываться при ранжировании. Например, «Значимое расследование» решением Директора по безопасности по представлению руководителя направления ЭБ. Правила присвоения признака прописываются в «Регламенте проведения корпоративных проверок». Это, конечно, привнесет небольшой элемент субъективности, но станет меньшим из зол.

Выработанные правила оценки эффективности работы подразделений безопасности и отдельных сотрудников «зашиваем» в годовые цели и мотивацию. Далее этому будет посвящена отдельная глава.