Полная версия
Корпоративная безопасность, как бизнес-процесс
Установление участников.
Определение бизнес-процесса в рамках которого произошел инцидент.
Изучения локальных нормативных актов, описывающих этот процесс (регламент, положение, процедура, должностные инструкции).
Анализ соответствия действий участников требованиям нормативной базы.
Анализ актуальности нормативной базы.
Вывод о причинах и условиях, способствовавших возникновению инцидента.
Выработка рекомендаций по применению корректирующих мер.
Есть нарушение со стороны исполнителей, нормативная база актуальна – применяем меры дисциплинарного воздействия к виновным, инцидент (простой) закрывается.
Есть нарушение со стороны исполнителей, нормативная база не актуальна – применяем меры дисциплинарного воздействия к виновным, системный риск отрабатываем в рамках расследования. Инцидент закрывается инициированием расследования.
Нет нарушения со стороны исполнителей, нормативная база не актуальна – отрабатываем системный риск в рамках расследования. Инцидент закрывается инициированием расследования.
Корпоративные расследования
В качестве единого формата, расследования сложных инцидентов безопасности, устанавливаем – корпоративную проверку, порядок проведения которой закрепляем в соответствующем регламенте.
Основание для проведения корпоративной проверки (расследования)
– информация о каком-либо событии (происшествии, инциденте, в том числе прогнозируемом), в результате которого Компании причинен (может быть причинен) имущественный либо иной (например, репутационный) вред.
Цель корпоративной проверки
– выявление уязвимостей в бизнес-процессах (системных рисков), несовершенство которых, позволило инциденту состояться и выработка мер по их митигации; документальная фиксация нарушений, допущенных исполнителями, контрагентами или другими участниками бизнес-процесса.
Результат корпоративного расследования
– устранение уязвимости бизнес-процесса (системного риска), которое осуществляется путем внесения изменений в регламентирующие или описывающие его документы, чем создаются условия, делающие повторение подобных происшествий невозможным или менее вероятным (разумеется, после изменения нормативной базы, необходимо выстроить работу в соответствии с новыми требованиями), а также принятие мер к виновным лицам (юридическим или должностным).
Учитывая, что основным признаком системного риска является возможность его повторной реализации в другое время, в другом месте и с другим составом участников, расследование инцидента необходимо проводить в контексте бизнес-процесса, для чего понимать его структуру.
Вся коммерческая, производственная и операционная деятельность Компании состоит из бизнес-процессов, которые могут протекать как последовательно (покупка-продажа), так и параллельно друг другу (производство – хозяйственное обеспечение).
Но в любом случае, каждый из них имеет своего владельца, а каждая операция в его составе исполнителя и контролера.
Сильно упростив, можно представить любой бизнес-процесс в таком виде:
Бизнес-процесс – совокупность взаимосвязанных операций, объединенных общей задачей, регламентирующийся Положением (Политикой), в котором перечислены операции, определены связи между ними и границы зон ответственности.
Владелец бизнес-процесса – топ-менеджер, отвечающий за результаты деятельности порученного ему бизнес-направления, наделенный необходимыми для этого полномочиями и ресурсами.
Операция – составная часть бизнес-процесса, в рамках участия одного сотрудника или одного подразделения, регулируется Регламентом процесса, определяет роли участников (исполнителей и контролеров) и порядок их взаимодействия в рамках этой операции.
Исполнитель, тот кто выполняет операцию, его участие и ответственность должны быть закреплены в Должностной инструкции.
Контролер, тот кто следит за тем, чтобы исполнитель выполнил свою часть операции, эта роль также прописывается в Должностной инструкции.
В рамках проводимого расследования, мы сопоставляем фактические действия участников инцидента, требованиям руководящих документов, регламентирующих этот бизнес-процесс.
Графически этот алгоритм корпоративного расследования
Для достижения целей расследования, необходимо выделить роли его участников и модель взаимодействия между ними на каждом этапе.
Инициатором, как правило, выступает сотрудник подразделения безопасности, выявивший сложный инцидент безопасности. Он же отвечает за полноту и качество проведенных проверочных мероприятий, обоснованность выводов и достаточность рекомендаций.
Руководитель подразделения безопасности, отвечает за организацию работы в зоне ответственности, дает санкцию на проведение расследования, контролирует его ход и утверждает результаты.
В целях накопления и распространения лучших практик, а также обеспечения единого подхода к проведению корпоративных расследований, в головном подразделении Дирекции безопасности на основе подразделения ЭБ создается Центр компетенции, специалисты которого оказывают методическую и практическую помощь сотрудникам СБ на местах в проведении расследований, а на завершающем этапе оценивают полноту, качество и достаточность приведённых мероприятий. Они же взаимодействуют с владельцами бизнес-процессов по вопросам реализации рекомендаций в части митигации системных рисков.
Директор по безопасности – осуществляет общее руководство.
Владельцем процесса проведения расследований, в зависимости от организационно-штатной структуры, может быть либо руководитель направления экономической безопасности, либо сам директор.
Ролевая модель проведения корпоративного расследования
В соответствии с предложенной концепцией обеспечения безопасности, корпоративное расследование рассматривается как единый формат активности, то есть, как основной инструмент в работе ДБ.
На основе информации, собранной в Базе данных инцидентов, формируется отчетность Дирекции безопасности, оценивается ее работа и экономическая эффективность.
Построение бизнес-процесса Дирекции безопасности
В предыдущей части мы рассмотрели методологию расследования инцидентов безопасности через выявление и митигацию системных рисков, то есть путем воздействия на бизнес-процессы.
Сложность заключается в том, что сотрудники подразделений безопасности зачастую ограничиваются установлением и наказанием виновных, а деятельность Компании в контексте бизнес-процессов не рассматривают по причине непонимания их сущности и важности.
В этой связи, может быть полезно изучить оперативную среду и с этой стороны тоже.
Если на предприятии разработана структура бизнес-процессов, а сами они регламентированы – Вам крупно повезло! Как правило, бывает иначе.
Тем не менее, мы можем самостоятельно сформировать укрупненную схему бизнес-процессов, например, в рамках производственного цикла. Скорее всего она окажется не полной, но за неимением иного и это будет хорошо.
Как вариант:
Сокращения:
B2B (business-to-business) – это бизнес-модель, при которой одна компания продаёт продукцию другим компаниям.
B2C (business-to-consumer) – это модель бизнеса, в которой компания продаёт товар конечному потребителю, или частному лицу.
РЦ – распределительный центр.
Важно понимать, что с нашим описанием чужих бизнес-процессов и границами ответственности, их владельцы могут не согласиться. Особенно, если такие вопросы возникнуть в ходе корпоративного расследования по факту возникновения потерь или убытков. Все-таки процессы должны описывать их владельцы и закреплять это описание в локальных нормативных актах. Нам такая схема нужна, в первую очередь, для определения потенциальных точек потерь и внедрения контролей.
Для того, чтобы сделать процесс обеспечения безопасности предприятия системным, организация деятельности подразделения безопасности также должна представлять собой бизнес-процесс!
Соответственно, бизнес-процесс осуществляемый Дирекцией безопасности, включает подпроцессы:
обеспечение экономической безопасности;
обеспечение физической безопасности;
обеспечение информационной безопасности;
управление Дирекцией безопасности.
Схема бизнес-процессов Дирекции безопасности
Сокращения:
KPI (Key Performance Indicators) – это ключевые показатели эффективности или деятельности;
SOC (Security Operations Center) – структурное подразделение организации, отвечающее за оперативный мониторинг IT-среды и предотвращение киберинцидентов;
ТСБ—технические средства безопасности;
ПБ – пожарная безопасности;
Детализируя подпроцессы, получаем:
Управление функцией (Дирекцией) безопасности
Сокращения:
ВНД – внутренние нормативные документы.
ДИ —должностные инструкции.
ОШС – организационно-штатная структура.
Обеспечение экономической безопасности
Обеспечение физической безопасности
Обеспечение информационной безопасности
Сокращения:
ИОД – информация ограниченного доступа;
КТ —коммерческая тайна.
Таким образом, мы схематично отобразили внутренние процессы Дирекции безопасности и блоки операций внутри них.
Теперь необходимо определить владельцев и границы их ответственности. Для это требуется разработка пакета внутренних распорядительных документов.
Регламентирование бизнес-процессов Дирекции безопасности
Для того, чтобы бизнес-процессы заработали, изобразить их в виде прямоугольников, соединенных стрелками, недостаточно. Требуется закрепить роли участников и зоны ответственности во внутренних нормативных документах Компании.
При этом, несмотря на то, что описываются внутренние процессы Дирекции безопасности, утверждать их следует у Генерального директора или акционеров, поскольку эти активности зачастую осуществляются на «чужой территории» и влияют на организацию работы других функций и подразделений.
Набор и наименования необходимых документов зависят от сложившихся в Компании практики и требований нормоконтроля (при его наличии), поэтому, при разработке своего пакета ВНД, руководствуемся этими правилами. Если таковые отсутствуют, можно создать собственную иерархию нормативных актов.
В качестве примера можно предложить такую:
В некоторых случаях функционал Дирекции безопасности может оказаться частью процессов других подразделений. Например, проверка кандидатов на работу – операцией в бизнес-процессе блока HR6 или оценка контрагентов на риски взаимодействия – частью деятельности Дирекции по закупкам. Для решения таких задач, можно, как создать и регламентировать собственный подпроцесс, так и встроиться в чужой. При выборе второго варианта, мероприятия ДБ регламентируются нормативной базой дирекций-владельцев процесса, но критерии оценки и стоп-факторы разрабатывает «безопасность».
С учетом предложенной иерархии ВНД, их набор может быть следующим:
На уровне Компании (холдинга, группы):
Положение о Дирекции безопасности
– определяет структуру, цели, задачи и полномочия ДБ;
Стратегия развития функции безопасности на 3 года
– закрепляет концепцию обеспечения безопасности, преследуемые цели и образ желаемого результата;
Политика обеспечения физической безопасности
– регламентирует общие требования по организации пропускного режима и мерам защиты материальных активов
Политика обеспечения пожарной безопасности
– определяет общие правила и принципы обеспечения пожарной безопасности
Политика обеспечения информационной безопасности
– регламентирует общие требования по обеспечению сохранности данных и информации ограниченного доступа
Политика обеспечения экономической безопасности
– детализирует концепцию обеспечения безопасности и основные инструменты, используемые в работе
Политика обращения с информацией ограниченного пользования
– описывает виды такой информации (коммерческая тайна, персональные данные и т.п.) и порядок организации ее защиты
Положение о порядке обращения с ИОД
– детализирует положения Политики, определяет порядок допуска к таким сведениям и обмен ими
Регламент проведения корпоративных проверок (расследований)
– определяет цели, задачи, содержание, полномочия лиц, осуществляющих эти мероприятия;
Регламент классификации и расчета убытков для целей корпоративных проверок (расследований)
– обеспечивает достоверность и прозрачность для бизнес-заказчика отчетности Дирекции безопасности;
Регламент проверки юридических лиц
– устанавливает объем и содержание проверочных мероприятий, а также порядок определения степени благонадежности контрагентов и полномочия должностных лиц по принятию рисков взаимодействия;
Регламент проверки кандидатов на работу и внутренних сотрудников при их перемещении
– устанавливает объем и содержание проверочных мероприятий, критерии допустимости и стоп-факторы;
Регламент организации оперативно-дежурной службы
– определяет задачи, структуру и полномочия лиц оперативно-дежурной службы, перечень регулярных и внеочередных донесений, маршруты эскалации информации о происшествиях.
На уровне подчиненных дирекций, департаментов, дочерних (зависимых) обществ, обособленных подразделений и филиалов:
Положение о подразделении безопасности (при наличии такового вне структуры ДБ – в отдельный юр. лицах и зависимых обществах);
Положение о пропускном и внутриобъектовом режиме
– детализирует требования Политики по обеспечению ФБ применительно к конкретному объекту, филиалу, технопарку и т.п.;
Справка об объекте (внутренний документ ДБ, в общекорпоративных базах ВНД не размещается)
– описывает особенности объекта, его расположение, предназначение, решаемые задачи и специфику, а также криминогенную и социальную обстановку в окружении; чувствительные сведения, изделия и участки, подлежащие охране, силы и средства безопасности;
Модель угроз (внутренний документ ДБ, в общекорпоративных базах ВНД не размещается)
– аналитический документ, содержащий описание наиболее вероятных сценариев возникновения потерь и убытков с указанием подразделений, производственных участков и объектов, где они могут произойти, ответственных за них лиц, а также сил и средств безопасности;
Система охраны объекта (внутренний документ ДБ, в общекорпоративных базах ВНД не размещается)
– графический документ с пояснительной запиской, отображающий размещение на местности сил и средств безопасности, а также порядок действий при возникновении нештатных или чрезвычайных ситуаций.
Инструкции по выполнению отдельных операций (например, проведению контроля кассовой зоны, наличия ТМЦ на складе, порядка досмотра автотранспорта и т.п.)
Образцы некоторых их вышеперечисленных документов представлены в Приложении 2.
Организация работы команды Дирекции безопасности
Важной составляющей успеха реализуемых изменений, являются сотрудники Дирекции безопасности, которые должны не только выполнять указания и поручения, но и стать командой единомышленников для руководителя функции.
В идеальном случае, новый Директор по безопасности приводит своих людей, которым верит, которых знает и которые разделяют его цели и одобряют методы управления. Тогда они совместными усилиями выстраивают работу в соответствии с уже сформировавшимися представлениями об эффективности.
В реальности, переместиться всей командой в новую Компанию скорее всего не удастся. Может не оказаться достаточно вакансий, ограниченный фонд оплаты труда, кто-то не сможет позволить себе релокацию, кто-то решит развиваться у прежнего работодателя.
В любом случае, новому руководителю придется искать пути для налаживания конструктивного взаимодействия с местным коллективом.
Старая команда, с приходом нового лидера, всегда погружается в состояние стресса. Не понятно, чего хочет новый начальник, как с ним строить диалог, как, в конце концов, не потерять работу.
Убеждение
На начальном этапе, большое значение имеет коммуникация, то есть непосредственное общение руководителя с каждым подчиненным. Необходимо снова и снова разъяснять с какой целью внедряется то или иное новшество, что требуется от каждого сотрудника и как будет оцениваться его работа.
Большинство может и хочет работать, более того, старается делать это качественно. Все, что требуется направить активность в нужное русло.
У людей всегда сильный запрос на справедливость и, если удается обеспечить объективность показателей результативности, понятность оценок и прозрачность ранжирования, это всегда способствует созданию благоприятного рабочего климата в коллективе.
Предложенный ранее ключевой показатель эффективности «Экономический эффект», как сумма возмещенного и предотвращенного убытков, рассчитанных по установленным правилам, в полной мере отвечает этому требованию.
Управление
В крупной Компании, структурные подразделения Дирекции безопасности и отдельные сотрудники будут располагаться в разных локациях, поэтому, управлять ими придется удаленно.
Для некоторых руководителей, особенно сформировавшихся во времена, когда указания передавались в виде рукописных резолюций, а контроль и оказание помощи осуществлялись посредством личного визита руководителя, либо вызова подчиненного сотрудника «на ковер» с докладом о проделанной работе, это может стать проблемой.
Десятки подчиненных, непонятно где, что-то делают (а может не делают… или делают не то, что надо), а отвечает за это руководитель! Ежедневные отчеты по телефону и периодические выезды на объекты лишь создают видимость контроля за рабочим процессом, но на самом деле таковым конечно же не являлись. Осознание собственной управленческой беспомощности вгоняет в глубочайший стресс и депрессию. Нервозное состояние проявляется, помимо повышенного артериального давления, в постоянном «дергании» подчиненных внезапными звонками по любому поводу, придирки – где был и почему не сразу ответил, почему не исполнил поручение, срок которому еще не наступил и прочими подобными глупостями из серии «Где Вы были, когда Вас не было».
Хоте ли бы Вы быть таким руководителем? А работать под его началом? Уверен, что нет!
При этом, многие руководители годами и даже десятилетиями исполняют свои обязанности в таком режиме. Более того, в некоторых организациях о существовании других вариантов управленческой деятельности никогда и не слышали.
Описание деятельности Дирекции безопасности в виде бизнес-процесса, позволяет выделить роль каждого сотрудника и декомпозировать ее на отдельные операции, то есть те действия, которые выполняет подчиненный в рамках своей должности.
В результате, понимая набор и последовательность активностей работника на пути к результату, функция руководителя, сводится к нескольким простым шагам:
Постановка целей (верхнеуровневых, общих для всей дирекции).
Постановка задач сотрудникам (индивидуально, в рамках их ролей).
Контроль первого этапа (через несколько дней убеждаемся, что работник правильно понял поручение, приступил к его выполнению и выбрал верный путь решения задачи, при необходимости – корректируем).
Промежуточный контроль (после истечения половины выделенного времени, уточняем статус исполнения и прогнозируем вероятность достижения успеха, при необходимости – корректируем, оказываем помощь).
Пред финишный контроль (незадолго до конечной даты, уточняем статус, прогнозируем степень достижения успеха и соблюдение срока, при необходимости корректируем, оказываем срочную помощь).
Финишный контроль (формально фиксируем выполнение задачи, убеждаемся, что цель достигнута, если нет, значит, предыдущие пункты руководителем выполнены не качественно).
Оценка степени достижения целей дирекции через обобщение результатов подчиненных (успех/провал – заслуга/вина руководителя).
Инструменты для управления и контроля могут быть любыми. Кому-то хватит стандартного Outlook из комплекта Microsoft office, кто-то воспользуется более модными Miro, Trello или чем-то другим похожим.
При такой организации труда, руководителю больше не требуется контролировать каждый шаг сотрудников, в команде формируется «Культура результата».
Более того, подчиненные понимают, что сиюминутная выгода от сокрытия проблем, негативно влияющих на решение задачи и сроки, полностью нивелируется отсутствием результата в конце, ведь оценивается работа именно по нему.
Сотрудник, стремящийся к достижению цели и, отвечающий за свой успех или провал, свободен в выборе путей ее достижения, что повышает вовлеченность и дает чувство удовлетворённости, так как его профессионализм ценится, а мнение учитывается. Вину за неудачу так же невозможно ни скрыть, ни переложить на других – возникает персональная ответственность!
На самом деле, самая большая трудность в управлении удаленной или территориально-распределенной командой в первую очередь заключается в необходимости руководителю «перепрошить» собственные мозги.
Не важно сколько раз подчиненный выходил на перекур и как долго продлился его обед, если есть результат – пусть работает, как ему удобно, если нет – выясняем причины, принимаем меры, вплоть до замены работника.
Любые контроли и отчеты, не приближающие нас к достижению цели – ненужные и отвлекающие, должны быть отменены.
В современном мире, от руководителя требуется не управлять сотрудниками и контролировать процесс, а выстроить процесс и контролировать результат!
Методическая поддержка
В предлагаемой концепции организации работы Дирекции безопасности, отработка инцидентов безопасности, включая корпоративные проверки (расследования), является основным форматом активности. Именно в Базе данных инцидентов накапливаются статистические сведения для формирования отчетности, а также оценки результативности подчиненных служб, отделов и сотрудников.
Для оказания помощи работникам на местах, может быть целесообразно сформировать на основе отдела экономической безопасности головного подразделения некий Центр компетенций (Далее – ЦК). На первом этапе будет вполне достаточно 1-2 наиболее опытных специалистов, а если таковых нет, то эту задачу может временно взять на себя руководитель направления ЭБ или сам Директор.
Эксперты ЦК, оказывают помощь в проведении наиболее сложных корпоративных расследований, на завершающем этапе рассматривают собранные материалы и доказательства, оценивают полноту и качество проведенных мероприятий, объективность выводов, достоверность сумм, заявленных как убыток, целесообразность и исполнимость предложенных рекомендаций. Анализируют Базу данных инцидентов для выявления однотипных кейсов и разрабатывают Методические рекомендации по их проверке. Для наиболее простых ситуаций создаются графические алгоритмы (предпочтительно в формате one page, то есть умещающиеся на одном листе).
Накопленные методические материалы лучше собрать на специальном ресурсе, доступ к которому будет у всех сотрудников, проводящих расследования.
В дальнейшем, по мере взросления функции безопасности, этап рассмотрения и согласования Заключений можно исключить, а право их утверждения передать руководителям подчиненных подразделений. Тогда ЦК сможет сосредоточиться на обобщении и распространении лучших практик, выработки стандартных алгоритмов для проверки типичных инцидентов.
Горизонтальные связи
Методическая помощь Центра компетенции важна и полезна, но не менее ценны горизонтальные контакты между «оперативниками» ДБ, работающими в филиалах.
