Десять первых шагов на должности: Директор по безопасности
Данная статья о том, что в первую очередь нужно делать лицу, назначенному на должность, предполагающую обеспечение безопасности предприятия, например, на должность Директора по безопасности. Часто она называется — заместитель директора по безопасности и режиму. Иногда иначе. Изложенные в статье идеи выражают исключительно субъективное мнение автора, обучающего и консультирующего по вопросам корпоративной безопасности уже почти двадцать пять лет. Я попытался сформулировать десять первых шагов на этой должности, которые на практике могут растянуться на много дней и даже недель в зависимости от опыта и компетенции безопасника и от готовности руководства предприятия принять безопасность как одну из бизнес-функций. Статья ориентирована в первую очередь на коммерческие организации (предприятия) и не затрагивает вопросы безопасности в органах государственного управления.
Шаг 1. Выяснить, зачем бизнесу нужна безопасность. Определить объекты безопасности. Оценить бизнес-функцию безопасности
В чем сложность работы безопасника? В первую очередь в том, что такой профессии юридически не существует. Нет универсальных должностных инструкций, нет профессиональных стандартов и даже нет учебных заведений, готовящих специалистов по корпоративной безопасности. Нет ни бакалаврских, ни магистерских программ, по окончании которой слушатель получит диплом, где написано, что он является специалистом в области корпоративной безопасности. Есть только программы подготовки по отдельным направлениям, например, по информационной безопасности, по экономической безопасности, по промышленной безопасности и так далее. И поэтому чем должен заниматься директор по безопасности никто точно не знает. Вернее, он занимается тем, что может предложить полезного для предприятия или тем, чем его нагрузит руководство предприятия.
По моему мнению, сейчас в России сложилось три типа коммерческих организаций, в которых безопасники выполняют совершенно разные задачи. И от того, к какому типу относится организация, в которой вы стали работать, зависит специфика первого шага.
Первый тип — организации с государственным участием. Это коммерческие структуры, в которых присутствуют интересы государства. Например: акции принадлежат государству, предприятие участвует в государственных проектах, национальных планах, выполняет государственный оборонный заказ, входит в государственную корпорацию. Таких предприятий становится все больше и больше. Основная задача безопасности в них — контроль за расходованием бюджетных денег, защита государственной и коммерческой тайны, контроль за выполнением поручений вышестоящих органов и должностных лиц, за выполнением социальных функций, взаимоотношение с государственными правоохранительными, контрольными и надзорными органами. В эти организации безопасники, как правило, приходят из государственных органов, в первую очередь из силовых структур. Работа для них понятна и связана примерно с тем, что они раньше делали на службе, только уже без погон и в коммерческой структуре. Как правило, их работа жестко определена должностными инструкциями и регламентами, несоблюдение которых строго карается. Выстраивается жесткая вертикаль управленческой власти по линии безопасности.
Второй тип — обычные коммерческие структуры без интересов государства. Это ритейл, многочисленные предприятия среднего и малого бизнеса, стартапы и другие компании. Крупный бизнес уже в той или иной степени аффилирован с государством и попадает в первый тип. В организациях второго типа приходится определять безопасность уже как бизнес-функцию и доказывать свою полезность предприятию. Распространенная ошибка начинающего безопасника — описывать лицу, принимающему решения, свои личные качества и возможности, козырять званиями, связями и безупречной многолетней службой на государство. Бизнесу это не нужно. Вопрос стоит так: что полезного ты, как безопасник, сможешь сделать для увеличения прибыли или стоимости предприятия? И здесь необходимо выстроить безопасность как бизнес-функцию и отчитываться не выполнением регламентов, а цифрами, связанными, например, с предотвращенным ущербом или с увеличением капитализации предприятия за счет безопасности. В этих предприятиях безопасность работает в основном по предотвращению или расследованию инцидентов, входит в систему управления рисками, защите активов, проводит мероприятия по увеличению конкурентного преимущества товаров и услуг компании. На этих позициях бывшие работники правоохранительных органов не очень эффективны. Сейчас эти должности в этих компаниях занимают лица, хорошо знающие экономику, финансы, бизнес процессы. Умеющие говорить с бизнесом на одном языке цифр и коммерческого сленга.
Третий тип — это предприятия, работающие либо в специфическом сегменте рынка, либо являющиеся иностранными компаниями, работающими на территории России. Под первую категорию подходят, например, банки и организации, контролирующиеся Центральным банком России (страховые, микрофинансовые и т.д.). Безопасность в них строится по требованиям, изложенным регуляторами. Невыполнение этих требований грозит штрафными санкциями вплоть до отзыва лицензий. Надо отдать должное ЦБ РФ, все основные требования по безопасности он жестко регламентировал (управление рисками, ПОД/ТФ, защита персональных данных и т.д.). Безопаснику остается только их выполнять или контролировать. В иностранных компаниях все несколько сложнее. В других странах вообще нет понятия «безопасник» — есть понятие риск-менеджер и комплаенс-менеджер. И отдельные должности по узким задачам, например, аудитор, ИТ-безопасник, внутренний контролер. Поэтому здесь безопаснику приходится либо выполнять вышеперечисленные задачи, либо долго объяснять иностранному руководству, кто он такой и почему на его содержание нужно тратить деньги. Кроме того, в иностранных компаниях безопасность смещена в направления, которые в российских компаниях только начинают развиваться. Например, экологическая безопасность или техногенная безопасность.
Должен заметить, что сейчас появляется четвертая группа — это экосистемы. Про них сейчас рассуждать сложно в связи с тем, что данный термин хоть и стал часто применяться на практике, но юридически не определен.
Шаг 2. Изучить законодательство в части деятельности предприятия, применительно к задачам корпоративной безопасности
Единого законодательства в области корпоративной безопасности нет, поэтому придется изучать требования законов и иных нормативных актов применительно к специфике бизнеса. Конечно, есть нормы российских кодексов (уголовный, административный, трудовой, налоговый и т.д.), которые безопасник должен знать хотя бы на уровне понимания и возможности применения. Если предприятие работает на международном рынке, то неплохо бы знать международное законодательство и международные конвенции. А также международные стандарты в области безопасности. В первую очередь это стандарты ISO, которых в части безопасности и управлению рисками довольно много.
Что еще должен знать безопасник, так это требования российского законодательства по отдельным вопросам безопасности, например, законодательство о частной детективной и охранной деятельности, о коммерческой тайне, о персональных данных, об информации, информатизации и защите информации, о государственной тайне, о безопасности объектов топливно-энергетического комплекса, о транспортной безопасности, о промышленной безопасности, о противодействию терроризму, о противодействию коррупции, о критической информационной инфраструктуре, о пожарной безопасности и т.д. Подобных законов, где встречается слово «безопасность» много. Это не значит, что выполнение всех этих законов ляжет на широкие плечи безопасника, но как минимум быть к этому готовым. Естественно, изучать законодательство надо применимо к специфике деятельности предприятия.
Работая в третьем типе предприятий, очень важно изучить требования регуляторов, а также профильных министерств и ведомств. Это могут быть приказы Минфина РФ, ФНС РФ, МВД РФ, ЦБ РФ и иных органов. Если ваше предприятие попадает в первый тип или входит в какой-нибудь холдинг или корпорацию, то придется еще изучать и акты вышестоящей организации, а также многочисленные типовые положения в части безопасности, которыми изобилует первая группа.
На что стоит обратить внимание: безопасники в компании не имеют особого статуса и поэтому попадают под то же трудовое законодательство, что и остальные работники. То есть те, кто «смотрит» за работниками, и сами работники живут по одному и тому же трудовому законодательству. Ни у кого никаких привилегий и преференций. Поэтому безопаснику надо хорошо разбираться в трудовом праве и понимать, что он не наделен никакими правами, выходящими за пределы трудового кодекса. Он не может заниматься охранной деятельностью, детективной деятельностью, адвокатской деятельностью, проводить мероприятия, которые попадают под понятие оперативно-розыскные. А так иногда хочется. Просто руки чешутся.
Также желательно понимать, что работники тоже не имеют особого «круглосуточного» статуса, каковым обладают, например, адвокаты, судьи, депутаты и иные лица. Суть трудовых отношений — выполнение трудовых функций в рабочее время. Поэтому все попытки регламентировать действия работника по линии безопасности во внерабочее время или вне трудовой функции вызывают обоснованные вопросы у юристов. В критических случаях — у адвокатов. Исключение составляют, наверное, только нормы кодексов этики, которые, с моей точки зрения, могут быть круглосуточные и в некоторых случаях определять поведение работника даже после увольнения. Но за нарушение этики не предполагается юридическая ответственность. Как правило, только общественное порицание.
Шаг 3. Понять бизнес-процессы и специфику предприятия
Это важно. Обеспечение безопасности бизнес-процессов является одной из главных задач корпоративной безопасности. Как правило, на предприятии эти процессы уже отлажены и безопаснику главное — их не сломать, то есть при налаженности процессов подстроится под них. Не быть «слоном в посудной лавке» и не мешать бизнесу зарабатывать деньги своей некомпетентностью — я сейчас говорю об уже функционирующем предприятии. На начальной стадии развития компании бизнес-процессы должны создаваться уже с учетом требований по их защите. Так сказать, в защищенном варианте.
Должен заметить тенденцию последнего времени. Если раньше безопасность рассматривала бизнес-процессы только с точки зрения их защиты, то в последнее время безопасность смотрит на процессы еще и с точки зрения их эффективности. То есть анализирует цифровые параметры и инциденты, которые могут свидетельствовать о необходимости перестройки и повышения эффективности самих бизнес процессов. Раньше оценкой эффективности занимался внутренний аудит, теперь эти задачи часто стали брать на себя еще и безопасники. И действительно, причиной ущерба или упущенной выгоды для предприятия могут являться не кражи, растраты или мошенничество — умышленное действие персонала, а неэффектвность процессов и связанные с ней технические ошибки.
Также желательно научиться разбираться в продукции, выпускаемой предприятием или спецификой предоставляемых услуг. Вспоминаю слова одного участника моего семинара, который уволился из органов и пришел работать безопасником в один научно-исследовательский институт. В его задачи входило визирование договоров в закупочной деятельности. Он не только не мог их проверять с позиции цены и целесообразности, он даже не понимал, о чем идет речь в закупаемых товарах, так как термины были научные и для простого безопасника малопонятные. Как говорится, учите матчасть.
Иногда довольно сложно бывает понять эту специфику по причине того, что безопасник не обладает достаточными знаниями, а погружаться в них довольно долго. Да и погрузившись, все равно не сможешь говорить с работниками на одном языке. В этом случае я рекомендую включить в штат узкого специалиста, знающего специфику — их называют технологами. Как правило, это лица, имеющие профильное образование, хорошо знающие бизнес-процессы предприятия, понимающие как работники или иные организации могут обмануть предприятия, которые смогут говорить с подобными специалистами на одном языке. Это позволит как минимум защититься от заключении ненужного договора и обезопасить себя от «лапши на ушах», которую вам будут вешать закупщики, уверяя, что именно эту деталь и только у этой компании необходимо закупить.
Шаг 4. Изучить инциденты на предприятии. Провести аудит корпоративной безопасности
Этот шаг я рекомендую сделать в том случае, если предприятие уже давно работает и можно посмотреть на процесс безопасности в динамике. Причем провести анализ таких инцидентов не только в своей организации, но и на других предприятиях, работающих в подобной сфере, если имеется возможность получения этой информации. Динамический объект, коим является предприятие, необходимо изучать в динамике: в истории многое уже было, и изобретать велосипед не всегда целесообразно. Статистика вещь упрямая. Подобные методы часто применяются в информационной безопасности — антивирусная защита создается с учетом произошедших инцидентов. В научных работах даже применяется такой термин — модель потенциального нарушителя (выстраивание защиты от смоделированного поведения «врага»).
Надо понимать, что изучая прошедшие инциденты, вы будете анализировать только то, что было обнаружено, и, скорее всего, это только вершина айсберга. Огромное количество инцидентов будет не зафиксировано и не попадет в статистику и в изучение. Это не значит, что их нет. Как говорят медики, нет здоровых людей, есть недообследованные. В этом случае хорошую помощь окажут системы обратной связи, созданные на предприятии. Например, горячие линии, беседы с увольняющимися или применение технологий тайного покупателя. При грамотном их применении инцидентов для изучения у вас будет предостаточно.
Должен заметить, что в современных условиях быстроменяющегося мира статистика действий и моделей нарушителя стала сильно отставать от реалий жизни. Также много нарушений имеют «креативный» характер, являющихся штучными и неповторяющимися. Поэтому, чтобы не быть генералом, готовящимся к прошедшей войне, желательно помимо произошедших инцидентов оценивать еще и свои уязвимости. Уже без привязки к моделям нарушителей — это уже задача аудита безопасности.
Несколько слов по поводу аудита безопасности. Этот термин все чаще стал применяться в коммерческой деятельности, однако юридически отсутствует и методики (стандарты) аудита безопасности разрабатываются безопасниками индивидуально, применимо к конкретной ситуации или задаче. У меня тоже есть своя методика аудита безопасности. Она предполагает оценку безопасности по двум направлениям.
Первое направление аудита — оценка выполнения на предприятии требований по безопасности, установленных законодательством и иными обязательными для выполнения нормативными документами. В основном это касается отдельных направлений безопасности — антитеррор, антикоррупция, промышленная безопасность, пожарная безопасность, безопасность критической информационной структуры, защита персональных данных и т.д. Здесь, как правило, тоже два направления — формальное выполнение требований регуляторов, исключающее привлечение к юридической ответственности, и реальная защита от чрезвычайных ситуаций, утечек информации и иных событий.
Второе направление аудита безопасности уже не связано с выполнением обязательных требований безопасности, а связано с рисками, угрозами и уязвимостями. По всем трем направлениям, исходя из известной формулы, что риск — это угроза, помноженная на уязвимость. Угроз может быть много, но если нет (или мало) уязвимостей, то риск минимальный.
Результаты аудита в основном являются основанием для формирования на предприятии политики безопасности и построения системы корпоративной защиты. На основе аудита формируется структура подразделения безопасности, задачи, планы работ, финансирование и решаются все основные задачи по корпоративной безопасности.
Шаг 5. Определить субъекты безопасности. Распределить задачи в области защиты бизнеса между аутсорсинговыми организация, подразделением безопасности и иными подразделениями предприятия
Хочу предостеречь от попыток безопасника решать все вопросы своими силами. Не все задачи, где есть слово «безопасность» — зона ответственности подразделения безопасности. Таких задач очень много. Оптимальным является не выделение функции безопасности в отдельный процесс и концентрация его в подразделении безопасности, а интегрирование элементов безопасности во все бизнес-процессы. И возложение ответственности за их выполнение на руководителей этих процессов. Каждый должен решать свои задачи. В этом случае задачи безопасности — определить и утвердить правила игры, осуществлять их выборочный контроль, оценку и, при необходимости, корректировку. Иногда расследовать инциденты. То есть выполнять в определенном смысле функции комплаенс.
Конечно, есть задачи, которые по определению решает только безопасность. Например, оборудование предприятия инженерно-техническими средствами охраны и безопасности — СКУДы, видеонаблюдение, контроль доступа и т.д. Но при переходе на удаленку эта специфическая задача отходит на второй план.
Во многих компаниях безопасности как структурного подразделения или штатной должности просто нет. Это не значит, что никто ей не занимается. Просто задачи по безопасности раскинуты по подразделениям, а функции контроля выполняет служба внутреннего контроля и служба внутреннего аудита. Задачи, связанные с управлением рисками, выполняют риск-менеджеры, задачи по информационной безопасности — соответствующее подразделение, задачи по кадровой безопасности — подразделение по управлению персоналом. Часть задач отдается на аутсорсинг.
Довольно часто сталкивался с созданием комиссий по отдельным вопросам, связанным с безопасностью. Например, антикоррупционная комиссия, антитеррористическая комиссия, комитет по управлению дебиторской задолженностью — эффективно, но только при грамотной работе этих комиссий. Их надо уметь вести, готовить решения, уметь решать возникшие противоречия, так как любая комиссия предполагает коллегиальность и многообразность вариантов решений. При наличии комиссий безопаснику работать проще, так как в своей работе он будет прикрываться решениями комиссий. Но в некоторых случаях сложнее, так как свободу действий безопаснику будет сковывать необходимость получить одобрение и соответствующее решение комиссии. В крупных организациях, особенно с государственным участием, комиссии встречаются часто. В некоторых случаях это размывает ответственность и выводит руководителя предприятия от ответственности за принятые им решения. Комиссия решила, руководитель только утвердил принятое комиссией решение. «Я был введен в заблуждение» — так скажет он в свое оправдание.
Отдельной темой является аутсорсинг услуг по безопасности. Как правило, без него не обойтись, так как на многие задачи понадобится лицензия и отдельный статус. Например, охрана, детективная деятельность, адвокатская деятельность и аналогичные случаи. Некоторые задачи отдать на аутсорсинг банально дешевле. С некоторыми задачами аутсорсинговые организации справятся более профессионально, чем штатные сотрудники.
Безопасники часто бояться аутсорсинга, считая, что он оставит их без работы, и частично они правы. Но только частично. Быть специалистом во всех отраслях по безопасности невозможно, а держать большой штат на все возможные случаи жизни нерентабельно. Поэтому если задача, которую вы хотите выполнить, предполагает разовый и специфичный характер, то ее выполнение лучше отдать на аутсорсинг. Например, услуги профайлинга, форензика, тестирование на детекторе лжи, экспертиза подлинности документов. Сделаю акцент на том, что эти услуги разовые, а не систематические. Если это часть функции безопасности, то лучше принять этих людей в штат.
Обращу внимание еще на такой аспект. Выполнение задач, поставленных перед безопасностью, часто связано с возможным нарушением требований законодательства и имиджевыми потерями в случае их обнародования. Если безопасник состоит в штате компании, то все, что он делает, отражается и на самой компании и на ее руководителе и учредителях. Которые могут быть очень уважаемыми людьми, и не хотят портить свой имидж из-за того, что безопасник слишком дотошно выполняет свои должностные обязанности. Поэтому часто на аутсорсинг отдают те задачи, выполнение которых связано с возможными имиджевыми потерями для предприятия. Особенно в современное время, где информационное противоборство приобретает особое значение. Любые огрехи компании многократно усиливаются социальными сетями и пиарятся конкурентами. К сожалению, в современное время мы не то, что мы есть на самом деле, а тот образ, который формируется социальными медиа и рекламой. Как говорят в Одессе, это две большие разницы.
Шаг 6. Сформировать штат подразделения безопасности
После того, как определены задачи по безопасности в целом, решено, какие задачи отдаются на аутсорсинг, а какие задачи раскидываются по подразделениям, мы приступаем к формированию штата подразделения безопасности. В современных условиях он, как правило, небольшой. Должен заметить, что размер штата очень сильно зависит от количества работников и специфики предприятия. И еще от того, будет ли входить в структуру безопасности подразделение информационной безопасности, или оно будет отдельным подразделением. Тенденция современного времени — цифровая трансформация бизнес-процессов, поэтому все, что связано с цифровизацией, и, как следствие, с информационной безопасностью, растет как на дрожжах. Особенно после событий 2020 года и перевода сотрудников на дистанционный формат работы. Обосновать штат подразделения информационной безопасности значительно проще, чем штат подразделения, например, экономической безопасности. Кроме того, информационные технологии так быстро меняются, что запросто можно обосновать выделение целевого финансирования за замену всей информационной инфраструктуры предприятия и оплату обучения работников новым информационным технологиям. То есть проблем с деньгами у подразделения информационной безопасности не будет. А если подразделение ИБ включено в штат подразделения безопасности, то проблем с деньгами не будет и у него. Кроме того, работать безопаснику без специалистов по ИБ сложно и неэффективно, поэтому я настоятельно рекомендую включить в подразделение безопасности все, что связано с информационной безопасностью.
Как правило, штат, а также компетенции принимаемых на работу безопасников, зависят от задач и строится по направлениям — экономическая безопасность, кадровая безопасность, информационная безопасность, техническая безопасность, информационно-аналитическая работа, контрольно-ревизионная деятельность и т.д. Если говорить кратко, то все задачи, решаемые безопасностью, можно разделить на три основных направления: контрольные задачи, информационно-аналитические задачи и задачи по технической безопасности, куда я отношу и информационную безопасность. В целом все укладывается в эти три направления, а значит, с них и надо начинать.
В крупных холдингах часто вся безопасность выведена в отдельное юридическое лицо, которое обеспечивает безопасность всех структур холдинга. Это так называемый контролируемый аутсорсинг. Тоже возможно и в некоторых случаях очень эффективно. Так как безопасник, находящийся на предприятии, независим от мнения исполнительного органа и подчиняется своему начальнику, находящемуся в другой организации. И зарплату получает не от генерального директора, за которым он присматривает, а в своей компании. И принимает, а также увольняет его не директор компании, где он физически находится, а руководитель своей внешней структуры.
Хочу обратить внимание на тот факт, что вопросы, решаемые безопасником, часто требуют юридической оценки, поэтому рекомендую иметь в штате подразделения безопасности если не юристов, то хотя бы работников с юридическим образованием, а лучше с опытом юридической работы.
Зачастую возникает вопрос о названии подразделения. Раздел «Служба безопасности» из закона о частной детективной и охранной деятельности ушел уже десять лет назад, поэтому подразделения безопасности имеют очень различные названия, иногда ничего не говорящие простому обывателю. Например, «Служба содействия бизнесу». Называют ешл и более понятным образом, например, «Отдел защиты активов» или «Департамент экономической безопасности». В крупных организациях с государственным участием можно встретить «Департамент корпоративной защиты» или «Дирекцию по безопасности и режиму». По моему мнению, название не очень важно, более важны задачи, полномочия с правами и должностные инструкции работников.
Шаг 7. Определить структуру подчинения, коммуникативные правила взаимодействия с иными должностными лицами и критерии оценки эффективности подразделения безопасности
На этом шаге необходимо решить три ключевых и очень важных вопроса: кому должна подчиняться безопасность, как и в какой форме коммуницировать с другими подразделениями и как оценивать работу подразделения безопасности.
Что касается подчинения, то оптимальным, на мой взгляд, является подчинение директора по безопасности акционерам или совету директоров. Тогда, как я уже писал ранее, достигается его независимость. Бывает и двойное подчинение: текущее — исполнительному органу в лице генерального директора, а функциональное — вышестоящей организации или тому же совету директоров. Это распространено в холдингах и государственных корпорациях.
Многое зависит от задач. Если безопасник «работает» и по генеральному директору, то, естественно, он ему не подчиняется. Сталкивался с понятием «подразделение собственной безопасности» — они распространены в больших и территориально разрозненных компаниях, особенно в ритейле. Это отдельная структура, подчиняющаяся только акционерам и работающая по определенной номенклатуре должностей, в первую очередь наемных работников с большими полномочиями. Таких как, например, торговые представители в регионе или руководители филиалов.
В небольших организациях, где, как правило, безопасность представлена в виде одного сотрудника, он подчиняется генеральному директору и выполняет роль и безопасника, и консультанта, и доверенного лица, и исполнителя по «особым поручениям». Это если и учредитель, и исполнительный орган объединены в одном лице.
Теперь о правилах взаимодействия с иными должностными лицами. Статус безопасника должен быть высоким, а именно звучать как «директор по безопасности». Безопасники могут входить в состав основных постоянно действующих комиссий, таких как конкурсная, аттестационная, антикоррупционная и другие. Что касается вхождения безопасника в состав временных комиссий (инвентаризационная, комиссия по расследованию несчастного случая и т.д.), то здесь нужно смотреть индивидуально, зачем он там нужен и каковы его задачи при работе в этой комиссии.
В практической работе безопасник будет тесно пересекаться с руководителями большого количества подразделений, таких, как служба по управлению персоналом, ИТ-подразделение, подразделение по управлению рисками, контрольно-ревизионное подразделение, финансовое подразделением и многие другие. Проще сказать, с каким отделом безопасник не будет пересекаться в своей работе — наверное, таких нет. И руководители всех этих подразделений, скорее всего, будут смотреть на него как на врага и отказываться коммуницировать. Преодолеть грань отчуждения будет довольно сложно, а в некоторых случаях и просто невозможно. Могу посоветовать быть дипломатичным, но настойчивым. Показывать свою работу в цифрах (увеличение прибыли или предотвращенные потери) и регламентировать взаимоотношения безопасности и иных подразделений в утвержденных локальных правовых актах. В безопаснике работники должны, в первую очередь, видеть «страхователя рисков», а не «карающий меч правосудия» или «око государево». То есть акционера или владельца бизнеса. Хотя последнюю функцию с безопасников никто не снимал. Просто ее не всегда надо афишировать.
На моих семинарах всегда возникает вопрос: как оценивать работу подразделения безопасности? Как определять им KPI и иные «коэффиценты полезного действия». Универсальных критериев нет. С моей точки зрения, самый неэффективный способ оценки — это оценка по количеству выявленных негативных инцидентов и возбужденным уголовным делам. Эти факты свидетельствуют о плохой работе подразделения безопасности, так как основная работа должна быть связана с предотвращением инцидентов, а не с их расследованием. Но если нет инцидентов, то как безопасность может обосновать свое предназначение? Формирование образа врага это классический, хотя и устаревший способ обоснования необходимости наличия подразделения безопасности.
Более эффективный способ оценки связан с качеством выполнения поставленных задач, с оценкой «прибыльности» безопасника и эффективности его участия в бизнес-процессах, с соблюдением установленных регламентов по линии безопасности, с оценкой качества предоставляемой руководству информации, позволяющей получить предприятию конкурентное преимущество на рынке.
Часто безопасник является ответственным должностным лицом за выполнение требований законодательства по отдельным направлениям безопасности (антитеррор, антикоррупция и т.д.). В этом случае оценка его работы происходит в зависимости от того, насколько успешно он их выполнил, и нет ли претензий к компании со стороны государственных органов, контролирующих выполнение этого законодательства.
Шаг 8. Создать локальную правовую базу в области корпоративной безопасности
По поводу локальной правовой базы в первую очередь стоит сказать: она должна быть. Причем чем больше компания, чем больше в ней работает персонала — тем более подробной и обширной она будет. Надо понимать, что правила игры в виде инструкций, регламентов, политик и иных документов пишутся людьми и для людей. Если в компании работает несколько человек, никакой нормативки как правило нет. Ни по безопасности, ни по каким-либо иным вопросам. Все решается на устных договоренностях.
Правовые акты по безопасности в больших компаниях разрабатываются на трех уровнях.
Первый уровень представляют стратегические документы, издаваемые в виде политик: антикоррупционная политика, кадровая политика, политика по информационной безопасности, политика по обработке персональных данных и другие. Раньше были модными такие документы, как Политика безопасности предприятия или Концепция безопасности организации. Я их называю «идеологические документы». В них нет четких требований, они, как правило, не привязаны к бизнес-процессам и носят в основном декларативный характер, излагая принципы, которыми придерживается руководство и которым должны придерживаться работники.
Второй уровень носит операционный характер и издается в виде инструкций, порядков или положений. Регламентирует (уже более подробно) отдельные направления политики. Например, инструкция по конфиденциальному делопроизводству, положение о закупках, порядок проведения внутренних проверок, инструкция о пропускном и внутриобъектовом режиме и так далее.
Третий уровень документов носит технический и технологический характер, издается в виде регламентов и определяет алгоритмы действий в тех или иных ситуациях, например, регламент проверки контрагентов. Есть еще документы в области корпоративной безопасности, носящие методический характер, например, методика оценки ущерба. Следует отметить и разработку других документов — планов, должностных инструкций, положений о подразделениях.
При создании локальной правовой базы по корпоративной безопасности надо иметь в виду, что документ может быть полностью посвящен отдельным вопросам безопасности (например, положение о коммерческой тайне), но вопросы безопасности могут включаться и в документы, регламентирующие бизнес-процесс в целом. Например, в компании может не быть документа с названием «Политика кадровой безопасности», но отдельные элементы кадровой безопасности включаются в документ с названием «Кадровая политика предприятия».
Всегда возникает вопрос, кто должен создавать эти документы. На мой взгляд, если документ полностью посвящен вопросам безопасности, то безопасник. Если документ регламентирует операционные вопросы бизнес-процесса — то владелец бизнес-процесса, (а безопасник вставляет в них свои требования). В любом случае вся нормативная база предприятия должна согласовываться с подразделением безопасности.
Шаг 9. Выстроить связи с коллегами-безопасниками из других организаций
Особенностью корпоративной безопасности в России является то, что много информации безопасник получает не из официальных документов, а из неформального общения с коллегами. Классических безопасников уровня директора по безопасности не так много — значительно меньше, чем работников других профессий в коммерческих структурах. По моим подсчетам, пару тысяч по всей стране. Все в той или иной степени знакомы между собой и где-то пересекались — либо по службе, либо на каких-нибудь проектах, либо на конференциях или учебе.
В последнее время появилось много телграмм-каналов или различных групп в мессенджерах, в которых происходит обмен мнениями и информацией. Это неплохо. Легализовать эту информацию сложно, поэтому статус ее — «информация к размышлению». Еще ее по привычке называют «оперативная информация» или «установка».
Что характерно: в среде безопасников существуют свои этические правила. Я не сталкивался с тем, чтобы безопасники топ-уровня обманывали друг друга. Шоворят, конечно, не все, часто недоговаривают. Но не обманывают. И это приятно.
Шаг 10. Получить необходимые знания, навыки и компетенции, необходимые в работе на данном предприятии
И, наконец, последний шаг. Это получение знаний и компетенций, необходимых для работы на должности директора по безопасности с учетом специфики деятельности предприятия. Говоря современным модным языком, hard skill и soft skill.
Что универсально и необходимо безопаснику в современном коммерческом мире? Это знание хотя бы основ информатики и информационной безопасности. Основная работа у безопасника сейчас связана с компьютером, анализом той информации, которая присутствует в корпоративных сетях и базах данных. Работа с людьми тоже присутствует, но в современном дистанционном мире это вторично. Многих удаленных работников безопасник никогда не увидит, но он должен знать и понимать, что они делают, находясь, возможно, на другом конце земли.
Еще я бы выделил юридическую грамотность и знание законов предпринимательской деятельности. Современный безопасник должен быть финансово грамотным и понимать законы рыночной экономики, уметь расшифровывать значение цифр и строк в отчетных финансовых документах. Безопасник, не знающий законы рынка, не сможет эффективно работать в коммерческой структуре.
Не лишним будет понимать язык, на котором разговаривают руководители и лица, принимающие решения в коммерческих структурах — он несколько отличается от языка, на котором говорят в силовых структурах. Уметь разговаривать с предпринимателями на их языке и сленгах. Ориентироваться в многочисленных иностранных терминах, коими изобилует язык современных коммерсантов — иногда в произносимом ими предложении бывает больше иностранных слов, чем русских. Причем безопаснику надо понимать, что не предприниматели должны подстраиваться под безопасность, а безопасность вынуждена подстраиваться под предпринимательскую деятельность.
Из soft skill я бы выделил умение соответствовать этическим требованиям в компании и придерживаться правил корпоративной культуры. Понимать, что не стоит выполнять поставленные перед безопасностью задачи с нарушением норм права и этических правил, принятых в компании. Не помешают психологические навыки, знание основ конфликтологии и оперативной психологии, умение выстраивать доверительные отношения с персоналом.
Где всему этому учат?. Как я писал ранее, в России нет программ высшего образования, готовящего специалиста по корпоративной безопасности для коммерческих структур. Сталкивался только с серьезным (я имею ввиду бакалавр или магистратуру) образованием в области информационной безопасности и в области экономической безопасности. Но это только некоторые направления в безопасности.
Я бы порекомендовал одно-двух-недельные директорские программы по безопасности и управлению рисками, которые проводятся как в Москве, так и в других городах очно или дистанционно. В некоторых ваш покорный слуга участвует как автор программ и преподаватель. На них можно получить основу системных знаний; остальные знания и навыки лучше получать на точечных семинарах по узким вопросам, а тех случаях, когда системных уже недостаточно.
Я бы рекомендовал очное общение: надо понимать, что на вебинарах практически все преподаватели дают неполную и очень общую информацию. Все, что проводится в дистанционном формате, транслируется на всю страну и потом гуляет по просторам интернета, не имеет серьезной ценности в силу своей доступности. Собственно, специалистам и не нужно, чтобы серьезная информация была общедоступна: более подробные и практикоориентированные знания слушатели получают только при живом общении, а также при оффлайн-обучении за закрытыми дверями. Иногда ценность знаний и информации, полученной при общении с коллегами в перерывах между парами более значима, чем сам материал семинара.
Это только первые десять шагов. Еще будут одиннадцатый, двенадцатый, двадцатый, сотый и так далее — до тех пор, пока вы не уволитесь из компании. Но это уже совсем другая сказка.
Статья была опубликова в журнале «Директор по безопасности», 2021, март — апрель
С уважением, команда Moscow Business School