Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies
Панкратьев Вячеслав Вячеславович

Панкратьев Вячеслав Вячеславович

Панкратьев Вячеслав Вячеславович
9.9
Рейтинг
Бизнес-тренер
Ментор

Специалист в области корпоративной безопасности компании и управлении экономическими рисками

Профессиональный опыт

  • Предоставление консалтинговых услуг в области корпоративной безопасности, управлению рисками, защиты активов и комплаенс
  • ФСО России, начальник юридического отдела
  • Прохождение военной службы на воинских должностях в КГБ СССР, ФАПСИ, ФСО России, полковник юстиции

Профессиональные компетенции

  • Построение системы корпоративной безопасности компании
  • Управление юридическими рисками, HR-рисками, безопасность дистанционной работы
  • Организация функционирования системы безопасности компании
  • Повышение эффективности системы корпоративной безопасности компании
  • Коммерческая тайна компании, эффективные направления ее защиты
  • Предотвращение противоправных действий со стороны сотрудников. Мотивация и лояльность персонала
  • Конфиденциальное делопроизводство компании
  • Конкурентная разведка, оценка надежности контрагентов
  • Управление экономическими рисками, бизнес-разведка, мошенничество, враждебное поглощение
  • Техническая безопасность компании. Защита каналов утечки информации, IT-безопасность, инженерно-техническая безопасность
  • Правовая защита бизнеса, налоговые проверки, GR-менеджмент
  • Антитеррористическая защищенность объектов, аудит, организационные мероприятия

Клиенты

Пенсионный фонд России, Правительство Москвы, «Вертолеты России» (ГК «Ростех»), ООО «РТ-комплектимпекс» («Ростех»), ПАО «ОДК-Сатурн» (ГК «Ростех»), ВКО «Алмаз-Антей», АО «НоваВинд» (ГК «Росатом»), Центр эксплуатации объектов наземной космической инфраструктуры (ГК «Роскосмос»), ВНИИЭМ (ГК «Роскосмос»), ПАО «Газпром», ПАО «НК Роснефть», ПАО «Транснефть», ПАО Новатэк«, ОАО «Лукойл оверсиз», ООО «Лукойл-пермь», ООО «Трансойл», ПАО «Норильский никель», ПАО «Уральская горно — металургическая компания», ПАО «Башкирская содовая компания», ОАО «Стерлитамакский содовый завод», ПАО «КАМАЗ», АО «Брянский машиностроительный завод», ПАО «Уральская горно-металургическая компания», ООО «Удоканская медь», Кондитерская фабрика «Сладуница», АФК «Система», ИФК «Бинвест», ИФ «Солид», УК «Металлоинвест», Финансово-промышленная группа «Юралс кэпитал», Armadillo, Биотек, БТБ (Безопасные технологии бизнеса), Белагро, ГК «Фосагро», АО «Северное Домодедово», ПАО «Аэрофлот», ГК «FM Логистик», ПАО «МТС», ПАО «Мегафон», ГК «Систематика, ООО «Нэт Бай Нэт», ОАО «Нижфарм, ГК «Биотек», ООО «Медипал», АЭ «Элевел», Inventive retail group, АО «Юлмарт», ГК «JTI», ГК «Безопасные технологии бизнеса» и другие

Преподавательская деятельность

  • Московский государственный университет (Высшая школа бизнеса), курс «Корпоративная безопасность»
  • Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации, программы МВА
  • Государственный университет управления, программы МВА
  • Всероссийская академия внешней торговли, программы МВА
  • Университет государственного и муниципального управления, заведующий кафедрой безопасности
  • Автор семинаров по вопросам безопасности предпринимательской деятельности в учебных центрах и бизнес-школах ФинКонт, Академия информационных систем, Русская школа управления, Центр профессионального развития «Профи карьера», Российский фонд образовательных программ «Экономика и управление», Академия повышения квалификации, Институт экономики, управления и социальных отношений, Безопасность 360 и других

Выступления и публикации

  • Публикации на темы безопасности, защиты информации в издательстве «Арсин»
  • Методические пособия «Практическое пособие по информационной безопасности предпринимательской деятельности», «Практические рекомендации по безопасности бизнеса» (под псевдонимом Казаков Н. Н.)
  • Статья «Практические рекомендации по предотвращению и урегулированию конфликтов интересов» в журнале «Директор по безопасности» (2021)
  • Созданы и внедрены методики проведения комплексного аудита безопасности; методики по созданию на предприятиях механизмов профилактики и противодействия коррупции (антикоррупционный комплаенс), корпоративные стандарты безопасности

Образование

  • Академия ФСБ
  • Высшее пограничное военно-политическое училище КГБ СССР

НУЖНА КОНСУЛЬТАЦИЯ?

+7
Принимаю условия Пользовательского соглашения

Спасибо!

Ваша заявка успешно отправлена. Наши менеджеры обязательно свяжутся с вами в рабочее время. Пожалуйста, ожидайте звонка или письма на указанную электронную почту.

Расписание

Статьи преподавателя

Применение теории хаоса в корпоративной безопасности.

В 1970-х годах ученые начинают изучать хаотические проявления в окружающем нас мире — формирование облаков, турбулентность в морских течениях, колебания численности популяций растений и животных и других явлениях. Исследователи искали связи между различными картинами беспорядочного в природе. Десять лет спустя понятие «хаос» дало название отдельной теории, которая изучает поведение некоторых нелинейных динамических систем, подверженных явлению, известному как хаос. Юридические и физические лица тоже относятся к понятию «динамические системы». В прошлом году мир вступил в эпоху хаоса и неопределенности. Было не ясно, когда закончится пандемия, не ясна ее глубина и возможный размах. Сложно было просчитать решения, принимаемые государственными органами. Административные запреты и ограничения менялись практически каждый день. Деятельность большинства предприятий была приостановлена властными административными решениями. В компаниях требовалось принимать управленческие решения в условиях неопределенности, в том числе — в части корпоративной безопасности. Вот тогда и вспомнили про теорию хаоса: он имеет свои закономерности и правила. Напомню некоторые из них с моими рекомендациями в части менеджмента безопасности и управления рисками. Первое В хаосе отсутствует система стратегического планирования Предприятие работает при отсутствии жестких планов, конкурентное преимущество получают те предприятия, которые способны быстро ориентироваться в ситуациях и принимать (менять) решения в зависимости от внешней и внутренней обстановки. Происходит переход от планирования (составления планов) к постановке задач. Эффективность работников оценивается по решению задач, а не по выполненным пунктам плана. Появляется понятие «импровизация» — термин, который раньше применялся только в сфере культуры. Кроме того, надо быть готовым к тому, что стратегические планы могут быть не реализованы — потому, что при их принятии не учитывали изменения в обстановке, произошедшей позднее. Планы как форма документа, конечно, остаются, но в основном это планы, связанные с регламентированными действиями при внештатных ситуациях, когда нет времени на раздумье и обдумывание ситуации. Например, план действий при террористических актах, при пожарах и других чрезвычайных ситуациях. Второе В динамических системах, функционирующих в условиях хаоса, значительные изменения претерпевают системы контроля Их функции часто берет на себя безопасность. Классические системы контроля процессов и регламентов становятся неэффективными в связи с быстроменяющейся обстановкой. Регламенты и процедуры еще не успели утвердить, а они уже устарели. Поэтому на первый план выходит контроль выполненных задач, а также контроль и управление изменениями (трансформациями). Это наглядно было видно при переводе работников на дистанционную работу: исчез привычный контур безопасности в виде территории работодателя. Классические технические средства контроля за персоналом перестали применяться (за исключением систем ИТ-безопасности), статус помещения, в котором работает сотрудник, поменялся из помещения, принадлежащего работодателю, на жилое помещение, принадлежащее работнику. Как контролировать выполнение работником трудовой функции? И тогда акцент контроля сместился с контроля процессов на контроль результатов выполнения поставленных задач. Кроме того, для повышения эффективности работы целесообразно оставить за сотрудником некоторую свободу действий в выборе способов и методов решений задач. Третье Условия хаоса характеризуются быстроменяющимися внешними параметрами. Успех будет достигаться быстротой принятия решений Даже неправильные решения в условиях хаоса могут не привести к негативным последствиям, так как эти последствия скорректируются последующей изменяющейся обстановкой. И наоборот — руководитель может принять правильное решение, но меняющиеся внешние параметры сведут их «правильность» к нулевому эффекту. Мир хаоса не допускает бездумного клонирования успешных моделей и кейсов. Успешные решения, которые применялись вчера, сегодня могут не привести к желаемому результату. Нельзя дважды войти в одну и ту же реку. И река, и организация (предприятие, учреждение) — системы динамические, поэтому на них действуют одни и те же законы теории хаоса. На основе статистических параметров из прошлого нельзя строить прогнозы на будущее, а статистика несовершенна и манипулятивна. Невозможно использовать опыт других организаций. Найденная руководителем успешная бизнес-модель не гарантирует вечное счастье и не может продолжаться долго. Четвертое В условиях хаоса меняется сама система менеджмента Это касается управления любыми процессами, в том числе и в области безопасности. Да и сами бизнес-процессы меняются. Громоздкие, бюрократизированные системы менеджмента становятся неэффективными. В них слишком долго принимаются решения и происходит внутреннее согласование. Наиболее эффективной считается система управления, разбитая на автономные блоки, которым предоставляются максимальные полномочия. Критерий все тот же — выполнение поставленной задачи. Это не только ускоряет принятие решений, но и подразумевает ответственность за ее выполнение или невыполнение. Подобное происходит в военном деле. Например, диверсионно-разведывательной группе, действующей в тылу врага, ставится только задача. Командир этой группы самостоятельно определяет методы и способы ее решения, исходя из складывающейся оперативной обстановки, так как с него спрашивают только выполнение задачи в поставленный срок. Здесь хотел бы обратить внимание еще на одну особенность. В условиях хаоса и неопределенности большое значение будут иметь процедуры делегирования полномочий по принятию решений. Если в компании существует жесткая вертикаль принятия управленческих решений и все решения принимаются «наверху», то такой менеджмент в условиях хаоса часто становится неэффективным. Надо научиться делегировать права и полномочия подчиненным. Пятое В условиях хаоса и неопределенности большое значение имеет как оперативный доступ к информации, так и умение ее анализировать В современном мире существует переизбыток ненужной информации, поэтому безопасники концентрируются на верификации и оценке информации, особенно той, что будет использоваться для принятия управленческих решений в условиях неопределенности. В хаосе «время жизни» информации очень мало, поэтому период, отведенный для ее проверки, становится все меньше и меньше. Мониторинг и оценка информации в реальном режиме времени это уже не экзотическая прихоть, а жизненная необходимость. По прошлому году из особенностей информационно-аналитической работы отмечу повышенный интерес предприятий к инсайдерской информации, циркулирующей в органах государственной власти, принимающих управленческие решения. А также активизацию лоббирования и GR-коммуникаций для влияния на принимаемые политические и административные решения в государственных органах. Как я писал выше, особое внимание приобретает аналитика, особенно в области управления рисками. На рынке стал чувствоваться дефицит хороших аналитиков. Современные требования к аналитикам предполагают умение моделировать несколько различных сценариев в зависимости от меняющихся внешних параметров. Что стало характерно в последнее время: при анализе ситуации сначала разрабатываются и анализируются негативные сценарии, а уже потом позитивные. Риск-менеджеров часто ругают за то, что они не смогли заранее смоделировать риски, связанные с пандемией. Однако до прошлого года у них такой задачи и не стояло. Вся система риск-менеджмента была ориентирована в основном на экономические параметры и разумные допуски. В коммерческих структурах никто не моделировал ситуации, связанные с глобальными катастрофами, ядерными войнами и чрезвычайными ситуациями. Теперь придется расширить границы допускаемых сценариев и включать в них сценарии локдаунов. Обращу внимание еще на такой момент: в связи с тем, что в условиях хаоса сложно моделировать и рассматривать ситуации, которые могут случиться в будущем, в аналитике происходит переход от изучения будущих возможных ситуаций (моделей, сценариев) к анализу своих возможностей и оценке своих уязвимостей. То есть в аналитике становится главным не изучение внешних рисков и угроз, а изучение своих возможностей и уязвимостей. Так как мы не знаем — с какими рисками и угрозами предстоит столкнуться в будущем. Про аналитику хотелось бы добавить следующее: популярными становятся создание универсальных правил и алгоритмов действий, которые будут работать во всех возможных ситуациях. Пример можно привести из взаимоотношений родителей и детей. Универсальное правило, которое доводят до ребенка — если потерялся, то встречаемся в том месте, где ребенок последний раз видел маму или папу. Правило действует во всех случаях, независимо от городов, улиц и торговых центров. В теории хаоса есть такой термин — «эффект бабочки». То есть незначительные, на первый взгляд, события могут привести к значительным последствиям. Это явление тоже надо учитывать при анализе ситуации. Шестое При неясности ситуации должностное лицо принимает решения на основе биологических инстинктов человека (как живого существа), и в соответстви со своими психологическими установками В мире хаоса и неопределенности становится востребована профессия психолога. Должен заметить, что в последнее время часто сталкиваюсь с тем, что безопасники либо проходят обучение по тематикам, связанным с психологией (например, конфликтология), либо имеют в штате психолога. Просчитать поведение человека и принятие им решений уже становится невозможно без этих знаний. Из относительно нового — учитывают не только психологию, но биологию человека. В использование ввели также такой термин — «биологические поведенческие инстинкты» человека. Сталкивался с тем, что многие должностные лица в условиях хаоса больше доверяют своей интуиции («чуйка», внутренний голос и т.д.), чем прогнозам аналитиков. Как работает механизм интуиции, науке доподлинно так и не известно, но решения, принятые на основе интуиции, очень часто бывают эффективными и правильными. Седьмое В современном хаотическом мире новыми качествами должен обладать руководитель организации, а также директор по безопасности Например, при принятии управленческих решений приобретает значимость такое качество человека как «пластичность», то есть гибкость, умение ориентироваться и подстраиваться под изменяющиеся внешние условия. На первый план выходит быстрота принятия решения, а не безопасность. Приведу пример из мира спорта. Существуют шахматисты, то есть люди, которые не торопясь принимают решения на основе опыта прошлых игр, а есть футболисты, то есть люди, принимающие решения быстро, исходя из складывающейся оперативной обстановки. В условиях хаоса и неопределенности конкурентное преимущество будут иметь предприятия, руководимые «футболистами», а не «шахматистами». Должен заметить, что безопасники стали реже оценивать и сравнивать людей. Физические лица, как динамические и нестабильные системы, не поддаются сравнению. Каждый человек индивидуален. И оценивать человека надо применимо не только к параметрам оценки, но и к определенному времени, так как через некоторое время это может быть уже совершенно другая личность. Кроме того, спрогнозировать, как поведет себя работник в той или иной нестандартной (особенно чрезвычайной) ситуации практически невозможно, особенно если он раньше никогда в ней не оказывался. Но в работниках стали цениться такие качества, как психологическая устойчивость к быстро меняющемуся миру и готовность к любым неожиданностям. Восьмое В мире хаоса меняется отношение к резервам и ресурсам На первый план выходят универсальные ресурсы, которые могут быть востребованы при любых внешних изменениях. Это касается в первую очередь финансовых и кадровых ресурсов. Материально-технические ресурсы, наоборот, становятся не очень востребованы, особенно с учетом быстрого устаревания технологий. При оценке рисков обращают внимание на диверсификацию ресурсов, направлений деятельности, поставок, рынков сбыта и так далее, так как в условиях неопределенности диверсификация является очень сильным конкурентным преимуществом. Должен заметить, что в условиях хаоса большие изменения происходят и в стоимости активов. Материальные активы теряют популярность, а нематериальные активы (технологии, патенты, репутация, имидж и другие) стали сильно влиять на капитализацию предприятия. Поэтому безопасники при защите активов все чаще обращают внимание на защиту именно нематериальных активов. Девятое В мире хаоса царит, как правило, юридическая неопределенность и коллизионность законодательства Кроме того, изменение законодательства не успевает за изменением в деловой среде. Понятие «форс-мажор» и «обстоятельство непреодолимой силы» применяются на каждом шагу. Контрагенты отказываются выполнять свои обязательства, каждый раз прикрываясь этим самым форс-мажором. Особую значимость в этот период приобретают юридические услуги, а также юристы, специализирующиеся на урегулировании конфликтных взаимоотношений между юридическими лицами, а также на урегулировании конфликтных увольнений работников, так как в мире неопределенности присутствует оптимизация бизнес процессов, сопровождающаяся, как правило, массовыми сокращениями персонала. Десятое Мир хаоса характеризуется отсутствием надежности и сопровождается концом такого явления как перфекционизм Надежность не бывает абсолютной, только относительной. Это касается надежности всего — контрагентов, работников, процессов, договоренностей. Как говорил известный персонаж в одном известном фильме, верить нельзя никому. Безопасник должен быть готов к тому, что подведет контрагент, который до этого не вызывал сомнений в своей надежности. Подведет по причинам, от этого контрагента не зависящим. И у безопасника всегда должен быть «план А» и «план Б», что делать этих случаях. Всегда необходимо быть готовым к самому плохому сценарию развития событий. В мире хаоса измерения никогда не бывают совершенны, прогнозы никогда не бывают точны, предсказания имеют долю вероятности. Оценка с точностью до миллиметра не производится, и вопрос «Сколько вешать в граммах?» уже не стоит. Все выводы, расчеты и предсказания имеют определенную долю вероятности. Поэтому оценка, как правило, идет по трехуровневой шкале: маловероятно, вероятно, очень вероятно. Или по системе светофора — красный, желтый, зеленый. Такие человеческие качества, как перфекционизм, то есть доведение результатов труда до совершенства, становятся ненужными, а в определенных случаях и вредными, так как отнимают много драгоценного времени. Должен сказать пару слов о том, что в корпоративной безопасности все чаще стали применяться системы, которые используют в своей основе хаотические (рандомные, непредсказуемые) технологии. Они показывают свою эффективность. Самое слабое звено в безопасности — это ее предсказуемость и просчитываемость. Если злоумышленник знает, по какому алгоритму и как работает система безопасности, то он, скорее всего, сможет ее обойти. Самой надежной система безопасности является та, алгоритм действий которой неизвестен и непредсказуем. Как в анекдоте про обезьяну с гранатой. Не знаешь, что дальше будет. В заключении своей статьи хочу сказать, что для космической вселенной характерен именно хаос и энтропия. Человек, пытающийся все упорядочить и навести порядок, вступает в противоречие с естественными законами природы. Хаос нельзя упорядочить, с ним можно только ужиться. В бизнесе популярность приобретают саморегулируемые модели, которые самостоятельно настраиваются в зависимости от изменяющейся обстановки (желательно без участия человека). Самоорганизующийся порядок, возникает из сочетания взаимозависимости элементов с их относительной свободой. Если в компании у каждого сотрудника свои цели, свои KPI показатели, жесткое виденье рынка и своей работы, все процессы бюрократизированы и формализованы, а решения принимаются только высшим руководством, то в такой организации самоорганизации быть не может. Такие компании имеют шанс на успех только в стабильных и предсказуемых условиях. Оптимальным в компании, наверное, будет являться баланс хаоса и порядка. Это характерно и для менеджмента в целом и для менеджмента корпоративной безопасности: думаю, что предприятие может успешно развиваться, балансируя между порядком и хаосом. Статья была опубликована в журнале «Директор по безопасности», 2021, май С уважением, команда Moscow Business School

Десять первых шагов на должности: Директор по безопасности

Данная статья о том, что в первую очередь нужно делать лицу, назначенному на должность, предполагающую обеспечение безопасности предприятия, например, на должность Директора по безопасности. Часто она называется — заместитель директора по безопасности и режиму. Иногда иначе. Изложенные в статье идеи выражают исключительно субъективное мнение автора, обучающего и консультирующего по вопросам корпоративной безопасности уже почти двадцать пять лет. Я попытался сформулировать десять первых шагов на этой должности, которые на практике могут растянуться на много дней и даже недель в зависимости от опыта и компетенции безопасника и от готовности руководства предприятия принять безопасность как одну из бизнес-функций. Статья ориентирована в первую очередь на коммерческие организации (предприятия) и не затрагивает вопросы безопасности в органах государственного управления. Шаг 1. Выяснить, зачем бизнесу нужна безопасность. Определить объекты безопасности. Оценить бизнес-функцию безопасности В чем сложность работы безопасника? В первую очередь в том, что такой профессии юридически не существует. Нет универсальных должностных инструкций, нет профессиональных стандартов и даже нет учебных заведений, готовящих специалистов по корпоративной безопасности. Нет ни бакалаврских, ни магистерских программ, по окончании которой слушатель получит диплом, где написано, что он является специалистом в области корпоративной безопасности. Есть только программы подготовки по отдельным направлениям, например, по информационной безопасности, по экономической безопасности, по промышленной безопасности и так далее. И поэтому чем должен заниматься директор по безопасности никто точно не знает. Вернее, он занимается тем, что может предложить полезного для предприятия или тем, чем его нагрузит руководство предприятия. По моему мнению, сейчас в России сложилось три типа коммерческих организаций, в которых безопасники выполняют совершенно разные задачи. И от того, к какому типу относится организация, в которой вы стали работать, зависит специфика первого шага. Первый тип — организации с государственным участием. Это коммерческие структуры, в которых присутствуют интересы государства. Например: акции принадлежат государству, предприятие участвует в государственных проектах, национальных планах, выполняет государственный оборонный заказ, входит в государственную корпорацию. Таких предприятий становится все больше и больше. Основная задача безопасности в них — контроль за расходованием бюджетных денег, защита государственной и коммерческой тайны, контроль за выполнением поручений вышестоящих органов и должностных лиц, за выполнением социальных функций, взаимоотношение с государственными правоохранительными, контрольными и надзорными органами. В эти организации безопасники, как правило, приходят из государственных органов, в первую очередь из силовых структур. Работа для них понятна и связана примерно с тем, что они раньше делали на службе, только уже без погон и в коммерческой структуре. Как правило, их работа жестко определена должностными инструкциями и регламентами, несоблюдение которых строго карается. Выстраивается жесткая вертикаль управленческой власти по линии безопасности. Второй тип — обычные коммерческие структуры без интересов государства. Это ритейл, многочисленные предприятия среднего и малого бизнеса, стартапы и другие компании. Крупный бизнес уже в той или иной степени аффилирован с государством и попадает в первый тип. В организациях второго типа приходится определять безопасность уже как бизнес-функцию и доказывать свою полезность предприятию. Распространенная ошибка начинающего безопасника — описывать лицу, принимающему решения, свои личные качества и возможности, козырять званиями, связями и безупречной многолетней службой на государство. Бизнесу это не нужно. Вопрос стоит так: что полезного ты, как безопасник, сможешь сделать для увеличения прибыли или стоимости предприятия? И здесь необходимо выстроить безопасность как бизнес-функцию и отчитываться не выполнением регламентов, а цифрами, связанными, например, с предотвращенным ущербом или с увеличением капитализации предприятия за счет безопасности. В этих предприятиях безопасность работает в основном по предотвращению или расследованию инцидентов, входит в систему управления рисками, защите активов, проводит мероприятия по увеличению конкурентного преимущества товаров и услуг компании. На этих позициях бывшие работники правоохранительных органов не очень эффективны. Сейчас эти должности в этих компаниях занимают лица, хорошо знающие экономику, финансы, бизнес процессы. Умеющие говорить с бизнесом на одном языке цифр и коммерческого сленга. Третий тип — это предприятия, работающие либо в специфическом сегменте рынка, либо являющиеся иностранными компаниями, работающими на территории России. Под первую категорию подходят, например, банки и организации, контролирующиеся Центральным банком России (страховые, микрофинансовые и т.д.). Безопасность в них строится по требованиям, изложенным регуляторами. Невыполнение этих требований грозит штрафными санкциями вплоть до отзыва лицензий. Надо отдать должное ЦБ РФ, все основные требования по безопасности он жестко регламентировал (управление рисками, ПОД/ТФ, защита персональных данных и т.д.). Безопаснику остается только их выполнять или контролировать. В иностранных компаниях все несколько сложнее. В других странах вообще нет понятия «безопасник» — есть понятие риск-менеджер и комплаенс-менеджер. И отдельные должности по узким задачам, например, аудитор, ИТ-безопасник, внутренний контролер. Поэтому здесь безопаснику приходится либо выполнять вышеперечисленные задачи, либо долго объяснять иностранному руководству, кто он такой и почему на его содержание нужно тратить деньги. Кроме того, в иностранных компаниях безопасность смещена в направления, которые в российских компаниях только начинают развиваться. Например, экологическая безопасность или техногенная безопасность. Должен заметить, что сейчас появляется четвертая группа — это экосистемы. Про них сейчас рассуждать сложно в связи с тем, что данный термин хоть и стал часто применяться на практике, но юридически не определен. Шаг 2. Изучить законодательство в части деятельности предприятия, применительно к задачам корпоративной безопасности Единого законодательства в области корпоративной безопасности нет, поэтому придется изучать требования законов и иных нормативных актов применительно к специфике бизнеса. Конечно, есть нормы российских кодексов (уголовный, административный, трудовой, налоговый и т.д.), которые безопасник должен знать хотя бы на уровне понимания и возможности применения. Если предприятие работает на международном рынке, то неплохо бы знать международное законодательство и международные конвенции. А также международные стандарты в области безопасности. В первую очередь это стандарты ISO, которых в части безопасности и управлению рисками довольно много. Что еще должен знать безопасник, так это требования российского законодательства по отдельным вопросам безопасности, например, законодательство о частной детективной и охранной деятельности, о коммерческой тайне, о персональных данных, об информации, информатизации и защите информации, о государственной тайне, о безопасности объектов топливно-энергетического комплекса, о транспортной безопасности, о промышленной безопасности, о противодействию терроризму, о противодействию коррупции, о критической информационной инфраструктуре, о пожарной безопасности и т.д. Подобных законов, где встречается слово «безопасность» много. Это не значит, что выполнение всех этих законов ляжет на широкие плечи безопасника, но как минимум быть к этому готовым. Естественно, изучать законодательство надо применимо к специфике деятельности предприятия. Работая в третьем типе предприятий, очень важно изучить требования регуляторов, а также профильных министерств и ведомств. Это могут быть приказы Минфина РФ, ФНС РФ, МВД РФ, ЦБ РФ и иных органов. Если ваше предприятие попадает в первый тип или входит в какой-нибудь холдинг или корпорацию, то придется еще изучать и акты вышестоящей организации, а также многочисленные типовые положения в части безопасности, которыми изобилует первая группа. На что стоит обратить внимание: безопасники в компании не имеют особого статуса и поэтому попадают под то же трудовое законодательство, что и остальные работники. То есть те, кто «смотрит» за работниками, и сами работники живут по одному и тому же трудовому законодательству. Ни у кого никаких привилегий и преференций. Поэтому безопаснику надо хорошо разбираться в трудовом праве и понимать, что он не наделен никакими правами, выходящими за пределы трудового кодекса. Он не может заниматься охранной деятельностью, детективной деятельностью, адвокатской деятельностью, проводить мероприятия, которые попадают под понятие оперативно-розыскные. А так иногда хочется. Просто руки чешутся. Также желательно понимать, что работники тоже не имеют особого «круглосуточного» статуса, каковым обладают, например, адвокаты, судьи, депутаты и иные лица. Суть трудовых отношений — выполнение трудовых функций в рабочее время. Поэтому все попытки регламентировать действия работника по линии безопасности во внерабочее время или вне трудовой функции вызывают обоснованные вопросы у юристов. В критических случаях — у адвокатов. Исключение составляют, наверное, только нормы кодексов этики, которые, с моей точки зрения, могут быть круглосуточные и в некоторых случаях определять поведение работника даже после увольнения. Но за нарушение этики не предполагается юридическая ответственность. Как правило, только общественное порицание. Шаг 3. Понять бизнес-процессы и специфику предприятия Это важно. Обеспечение безопасности бизнес-процессов является одной из главных задач корпоративной безопасности. Как правило, на предприятии эти процессы уже отлажены и безопаснику главное — их не сломать, то есть при налаженности процессов подстроится под них. Не быть «слоном в посудной лавке» и не мешать бизнесу зарабатывать деньги своей некомпетентностью — я сейчас говорю об уже функционирующем предприятии. На начальной стадии развития компании бизнес-процессы должны создаваться уже с учетом требований по их защите. Так сказать, в защищенном варианте. Должен заметить тенденцию последнего времени. Если раньше безопасность рассматривала бизнес-процессы только с точки зрения их защиты, то в последнее время безопасность смотрит на процессы еще и с точки зрения их эффективности. То есть анализирует цифровые параметры и инциденты, которые могут свидетельствовать о необходимости перестройки и повышения эффективности самих бизнес процессов. Раньше оценкой эффективности занимался внутренний аудит, теперь эти задачи часто стали брать на себя еще и безопасники. И действительно, причиной ущерба или упущенной выгоды для предприятия могут являться не кражи, растраты или мошенничество — умышленное действие персонала, а неэффектвность процессов и связанные с ней технические ошибки. Также желательно научиться разбираться в продукции, выпускаемой предприятием или спецификой предоставляемых услуг. Вспоминаю слова одного участника моего семинара, который уволился из органов и пришел работать безопасником в один научно-исследовательский институт. В его задачи входило визирование договоров в закупочной деятельности. Он не только не мог их проверять с позиции цены и целесообразности, он даже не понимал, о чем идет речь в закупаемых товарах, так как термины были научные и для простого безопасника малопонятные. Как говорится, учите матчасть. Иногда довольно сложно бывает понять эту специфику по причине того, что безопасник не обладает достаточными знаниями, а погружаться в них довольно долго. Да и погрузившись, все равно не сможешь говорить с работниками на одном языке. В этом случае я рекомендую включить в штат узкого специалиста, знающего специфику — их называют технологами. Как правило, это лица, имеющие профильное образование, хорошо знающие бизнес-процессы предприятия, понимающие как работники или иные организации могут обмануть предприятия, которые смогут говорить с подобными специалистами на одном языке. Это позволит как минимум защититься от заключении ненужного договора и обезопасить себя от «лапши на ушах», которую вам будут вешать закупщики, уверяя, что именно эту деталь и только у этой компании необходимо закупить. Шаг 4. Изучить инциденты на предприятии. Провести аудит корпоративной безопасности Этот шаг я рекомендую сделать в том случае, если предприятие уже давно работает и можно посмотреть на процесс безопасности в динамике. Причем провести анализ таких инцидентов не только в своей организации, но и на других предприятиях, работающих в подобной сфере, если имеется возможность получения этой информации. Динамический объект, коим является предприятие, необходимо изучать в динамике: в истории многое уже было, и изобретать велосипед не всегда целесообразно. Статистика вещь упрямая. Подобные методы часто применяются в информационной безопасности — антивирусная защита создается с учетом произошедших инцидентов. В научных работах даже применяется такой термин — модель потенциального нарушителя (выстраивание защиты от смоделированного поведения «врага»). Надо понимать, что изучая прошедшие инциденты, вы будете анализировать только то, что было обнаружено, и, скорее всего, это только вершина айсберга. Огромное количество инцидентов будет не зафиксировано и не попадет в статистику и в изучение. Это не значит, что их нет. Как говорят медики, нет здоровых людей, есть недообследованные. В этом случае хорошую помощь окажут системы обратной связи, созданные на предприятии. Например, горячие линии, беседы с увольняющимися или применение технологий тайного покупателя. При грамотном их применении инцидентов для изучения у вас будет предостаточно. Должен заметить, что в современных условиях быстроменяющегося мира статистика действий и моделей нарушителя стала сильно отставать от реалий жизни. Также много нарушений имеют «креативный» характер, являющихся штучными и неповторяющимися. Поэтому, чтобы не быть генералом, готовящимся к прошедшей войне, желательно помимо произошедших инцидентов оценивать еще и свои уязвимости. Уже без привязки к моделям нарушителей — это уже задача аудита безопасности. Несколько слов по поводу аудита безопасности. Этот термин все чаще стал применяться в коммерческой деятельности, однако юридически отсутствует и методики (стандарты) аудита безопасности разрабатываются безопасниками индивидуально, применимо к конкретной ситуации или задаче. У меня тоже есть своя методика аудита безопасности. Она предполагает оценку безопасности по двум направлениям. Первое направление аудита — оценка выполнения на предприятии требований по безопасности, установленных законодательством и иными обязательными для выполнения нормативными документами. В основном это касается отдельных направлений безопасности — антитеррор, антикоррупция, промышленная безопасность, пожарная безопасность, безопасность критической информационной структуры, защита персональных данных и т.д. Здесь, как правило, тоже два направления — формальное выполнение требований регуляторов, исключающее привлечение к юридической ответственности, и реальная защита от чрезвычайных ситуаций, утечек информации и иных событий. Второе направление аудита безопасности уже не связано с выполнением обязательных требований безопасности, а связано с рисками, угрозами и уязвимостями. По всем трем направлениям, исходя из известной формулы, что риск — это угроза, помноженная на уязвимость. Угроз может быть много, но если нет (или мало) уязвимостей, то риск минимальный. Результаты аудита в основном являются основанием для формирования на предприятии политики безопасности и построения системы корпоративной защиты. На основе аудита формируется структура подразделения безопасности, задачи, планы работ, финансирование и решаются все основные задачи по корпоративной безопасности. Шаг 5. Определить субъекты безопасности. Распределить задачи в области защиты бизнеса между аутсорсинговыми организация, подразделением безопасности и иными подразделениями предприятия Хочу предостеречь от попыток безопасника решать все вопросы своими силами. Не все задачи, где есть слово «безопасность» — зона ответственности подразделения безопасности. Таких задач очень много. Оптимальным является не выделение функции безопасности в отдельный процесс и концентрация его в подразделении безопасности, а интегрирование элементов безопасности во все бизнес-процессы. И возложение ответственности за их выполнение на руководителей этих процессов. Каждый должен решать свои задачи. В этом случае задачи безопасности — определить и утвердить правила игры, осуществлять их выборочный контроль, оценку и, при необходимости, корректировку. Иногда расследовать инциденты. То есть выполнять в определенном смысле функции комплаенс. Конечно, есть задачи, которые по определению решает только безопасность. Например, оборудование предприятия инженерно-техническими средствами охраны и безопасности — СКУДы, видеонаблюдение, контроль доступа и т.д. Но при переходе на удаленку эта специфическая задача отходит на второй план. Во многих компаниях безопасности как структурного подразделения или штатной должности просто нет. Это не значит, что никто ей не занимается. Просто задачи по безопасности раскинуты по подразделениям, а функции контроля выполняет служба внутреннего контроля и служба внутреннего аудита. Задачи, связанные с управлением рисками, выполняют риск-менеджеры, задачи по информационной безопасности — соответствующее подразделение, задачи по кадровой безопасности — подразделение по управлению персоналом. Часть задач отдается на аутсорсинг. Довольно часто сталкивался с созданием комиссий по отдельным вопросам, связанным с безопасностью. Например, антикоррупционная комиссия, антитеррористическая комиссия, комитет по управлению дебиторской задолженностью — эффективно, но только при грамотной работе этих комиссий. Их надо уметь вести, готовить решения, уметь решать возникшие противоречия, так как любая комиссия предполагает коллегиальность и многообразность вариантов решений. При наличии комиссий безопаснику работать проще, так как в своей работе он будет прикрываться решениями комиссий. Но в некоторых случаях сложнее, так как свободу действий безопаснику будет сковывать необходимость получить одобрение и соответствующее решение комиссии. В крупных организациях, особенно с государственным участием, комиссии встречаются часто. В некоторых случаях это размывает ответственность и выводит руководителя предприятия от ответственности за принятые им решения. Комиссия решила, руководитель только утвердил принятое комиссией решение. «Я был введен в заблуждение» — так скажет он в свое оправдание. Отдельной темой является аутсорсинг услуг по безопасности. Как правило, без него не обойтись, так как на многие задачи понадобится лицензия и отдельный статус. Например, охрана, детективная деятельность, адвокатская деятельность и аналогичные случаи. Некоторые задачи отдать на аутсорсинг банально дешевле. С некоторыми задачами аутсорсинговые организации справятся более профессионально, чем штатные сотрудники. Безопасники часто бояться аутсорсинга, считая, что он оставит их без работы, и частично они правы. Но только частично. Быть специалистом во всех отраслях по безопасности невозможно, а держать большой штат на все возможные случаи жизни нерентабельно. Поэтому если задача, которую вы хотите выполнить, предполагает разовый и специфичный характер, то ее выполнение лучше отдать на аутсорсинг. Например, услуги профайлинга, форензика, тестирование на детекторе лжи, экспертиза подлинности документов. Сделаю акцент на том, что эти услуги разовые, а не систематические. Если это часть функции безопасности, то лучше принять этих людей в штат. Обращу внимание еще на такой аспект. Выполнение задач, поставленных перед безопасностью, часто связано с возможным нарушением требований законодательства и имиджевыми потерями в случае их обнародования. Если безопасник состоит в штате компании, то все, что он делает, отражается и на самой компании и на ее руководителе и учредителях. Которые могут быть очень уважаемыми людьми, и не хотят портить свой имидж из-за того, что безопасник слишком дотошно выполняет свои должностные обязанности. Поэтому часто на аутсорсинг отдают те задачи, выполнение которых связано с возможными имиджевыми потерями для предприятия. Особенно в современное время, где информационное противоборство приобретает особое значение. Любые огрехи компании многократно усиливаются социальными сетями и пиарятся конкурентами. К сожалению, в современное время мы не то, что мы есть на самом деле, а тот образ, который формируется социальными медиа и рекламой. Как говорят в Одессе, это две большие разницы. Шаг 6. Сформировать штат подразделения безопасности После того, как определены задачи по безопасности в целом, решено, какие задачи отдаются на аутсорсинг, а какие задачи раскидываются по подразделениям, мы приступаем к формированию штата подразделения безопасности. В современных условиях он, как правило, небольшой. Должен заметить, что размер штата очень сильно зависит от количества работников и специфики предприятия. И еще от того, будет ли входить в структуру безопасности подразделение информационной безопасности, или оно будет отдельным подразделением. Тенденция современного времени — цифровая трансформация бизнес-процессов, поэтому все, что связано с цифровизацией, и, как следствие, с информационной безопасностью, растет как на дрожжах. Особенно после событий 2020 года и перевода сотрудников на дистанционный формат работы. Обосновать штат подразделения информационной безопасности значительно проще, чем штат подразделения, например, экономической безопасности. Кроме того, информационные технологии так быстро меняются, что запросто можно обосновать выделение целевого финансирования за замену всей информационной инфраструктуры предприятия и оплату обучения работников новым информационным технологиям. То есть проблем с деньгами у подразделения информационной безопасности не будет. А если подразделение ИБ включено в штат подразделения безопасности, то проблем с деньгами не будет и у него. Кроме того, работать безопаснику без специалистов по ИБ сложно и неэффективно, поэтому я настоятельно рекомендую включить в подразделение безопасности все, что связано с информационной безопасностью. Как правило, штат, а также компетенции принимаемых на работу безопасников, зависят от задач и строится по направлениям — экономическая безопасность, кадровая безопасность, информационная безопасность, техническая безопасность, информационно-аналитическая работа, контрольно-ревизионная деятельность и т.д. Если говорить кратко, то все задачи, решаемые безопасностью, можно разделить на три основных направления: контрольные задачи, информационно-аналитические задачи и задачи по технической безопасности, куда я отношу и информационную безопасность. В целом все укладывается в эти три направления, а значит, с них и надо начинать. В крупных холдингах часто вся безопасность выведена в отдельное юридическое лицо, которое обеспечивает безопасность всех структур холдинга. Это так называемый контролируемый аутсорсинг. Тоже возможно и в некоторых случаях очень эффективно. Так как безопасник, находящийся на предприятии, независим от мнения исполнительного органа и подчиняется своему начальнику, находящемуся в другой организации. И зарплату получает не от генерального директора, за которым он присматривает, а в своей компании. И принимает, а также увольняет его не директор компании, где он физически находится, а руководитель своей внешней структуры. Хочу обратить внимание на тот факт, что вопросы, решаемые безопасником, часто требуют юридической оценки, поэтому рекомендую иметь в штате подразделения безопасности если не юристов, то хотя бы работников с юридическим образованием, а лучше с опытом юридической работы. Зачастую возникает вопрос о названии подразделения. Раздел «Служба безопасности» из закона о частной детективной и охранной деятельности ушел уже десять лет назад, поэтому подразделения безопасности имеют очень различные названия, иногда ничего не говорящие простому обывателю. Например, «Служба содействия бизнесу». Называют ешл и более понятным образом, например, «Отдел защиты активов» или «Департамент экономической безопасности». В крупных организациях с государственным участием можно встретить «Департамент корпоративной защиты» или «Дирекцию по безопасности и режиму». По моему мнению, название не очень важно, более важны задачи, полномочия с правами и должностные инструкции работников. Шаг 7. Определить структуру подчинения, коммуникативные правила взаимодействия с иными должностными лицами и критерии оценки эффективности подразделения безопасности На этом шаге необходимо решить три ключевых и очень важных вопроса: кому должна подчиняться безопасность, как и в какой форме коммуницировать с другими подразделениями и как оценивать работу подразделения безопасности. Что касается подчинения, то оптимальным, на мой взгляд, является подчинение директора по безопасности акционерам или совету директоров. Тогда, как я уже писал ранее, достигается его независимость. Бывает и двойное подчинение: текущее — исполнительному органу в лице генерального директора, а функциональное — вышестоящей организации или тому же совету директоров. Это распространено в холдингах и государственных корпорациях. Многое зависит от задач. Если безопасник «работает» и по генеральному директору, то, естественно, он ему не подчиняется. Сталкивался с понятием «подразделение собственной безопасности» — они распространены в больших и территориально разрозненных компаниях, особенно в ритейле. Это отдельная структура, подчиняющаяся только акционерам и работающая по определенной номенклатуре должностей, в первую очередь наемных работников с большими полномочиями. Таких как, например, торговые представители в регионе или руководители филиалов. В небольших организациях, где, как правило, безопасность представлена в виде одного сотрудника, он подчиняется генеральному директору и выполняет роль и безопасника, и консультанта, и доверенного лица, и исполнителя по «особым поручениям». Это если и учредитель, и исполнительный орган объединены в одном лице. Теперь о правилах взаимодействия с иными должностными лицами. Статус безопасника должен быть высоким, а именно звучать как «директор по безопасности». Безопасники могут входить в состав основных постоянно действующих комиссий, таких как конкурсная, аттестационная, антикоррупционная и другие. Что касается вхождения безопасника в состав временных комиссий (инвентаризационная, комиссия по расследованию несчастного случая и т.д.), то здесь нужно смотреть индивидуально, зачем он там нужен и каковы его задачи при работе в этой комиссии. В практической работе безопасник будет тесно пересекаться с руководителями большого количества подразделений, таких, как служба по управлению персоналом, ИТ-подразделение, подразделение по управлению рисками, контрольно-ревизионное подразделение, финансовое подразделением и многие другие. Проще сказать, с каким отделом безопасник не будет пересекаться в своей работе — наверное, таких нет. И руководители всех этих подразделений, скорее всего, будут смотреть на него как на врага и отказываться коммуницировать. Преодолеть грань отчуждения будет довольно сложно, а в некоторых случаях и просто невозможно. Могу посоветовать быть дипломатичным, но настойчивым. Показывать свою работу в цифрах (увеличение прибыли или предотвращенные потери) и регламентировать взаимоотношения безопасности и иных подразделений в утвержденных локальных правовых актах. В безопаснике работники должны, в первую очередь, видеть «страхователя рисков», а не «карающий меч правосудия» или «око государево». То есть акционера или владельца бизнеса. Хотя последнюю функцию с безопасников никто не снимал. Просто ее не всегда надо афишировать. На моих семинарах всегда возникает вопрос: как оценивать работу подразделения безопасности? Как определять им KPI и иные «коэффиценты полезного действия». Универсальных критериев нет. С моей точки зрения, самый неэффективный способ оценки — это оценка по количеству выявленных негативных инцидентов и возбужденным уголовным делам. Эти факты свидетельствуют о плохой работе подразделения безопасности, так как основная работа должна быть связана с предотвращением инцидентов, а не с их расследованием. Но если нет инцидентов, то как безопасность может обосновать свое предназначение? Формирование образа врага это классический, хотя и устаревший способ обоснования необходимости наличия подразделения безопасности. Более эффективный способ оценки связан с качеством выполнения поставленных задач, с оценкой «прибыльности» безопасника и эффективности его участия в бизнес-процессах, с соблюдением установленных регламентов по линии безопасности, с оценкой качества предоставляемой руководству информации, позволяющей получить предприятию конкурентное преимущество на рынке. Часто безопасник является ответственным должностным лицом за выполнение требований законодательства по отдельным направлениям безопасности (антитеррор, антикоррупция и т.д.). В этом случае оценка его работы происходит в зависимости от того, насколько успешно он их выполнил, и нет ли претензий к компании со стороны государственных органов, контролирующих выполнение этого законодательства. Шаг 8. Создать локальную правовую базу в области корпоративной безопасности По поводу локальной правовой базы в первую очередь стоит сказать: она должна быть. Причем чем больше компания, чем больше в ней работает персонала — тем более подробной и обширной она будет. Надо понимать, что правила игры в виде инструкций, регламентов, политик и иных документов пишутся людьми и для людей. Если в компании работает несколько человек, никакой нормативки как правило нет. Ни по безопасности, ни по каким-либо иным вопросам. Все решается на устных договоренностях. Правовые акты по безопасности в больших компаниях разрабатываются на трех уровнях. Первый уровень представляют стратегические документы, издаваемые в виде политик: антикоррупционная политика, кадровая политика, политика по информационной безопасности, политика по обработке персональных данных и другие. Раньше были модными такие документы, как Политика безопасности предприятия или Концепция безопасности организации. Я их называю «идеологические документы». В них нет четких требований, они, как правило, не привязаны к бизнес-процессам и носят в основном декларативный характер, излагая принципы, которыми придерживается руководство и которым должны придерживаться работники. Второй уровень носит операционный характер и издается в виде инструкций, порядков или положений. Регламентирует (уже более подробно) отдельные направления политики. Например, инструкция по конфиденциальному делопроизводству, положение о закупках, порядок проведения внутренних проверок, инструкция о пропускном и внутриобъектовом режиме и так далее. Третий уровень документов носит технический и технологический характер, издается в виде регламентов и определяет алгоритмы действий в тех или иных ситуациях, например, регламент проверки контрагентов. Есть еще документы в области корпоративной безопасности, носящие методический характер, например, методика оценки ущерба. Следует отметить и разработку других документов — планов, должностных инструкций, положений о подразделениях. При создании локальной правовой базы по корпоративной безопасности надо иметь в виду, что документ может быть полностью посвящен отдельным вопросам безопасности (например, положение о коммерческой тайне), но вопросы безопасности могут включаться и в документы, регламентирующие бизнес-процесс в целом. Например, в компании может не быть документа с названием «Политика кадровой безопасности», но отдельные элементы кадровой безопасности включаются в документ с названием «Кадровая политика предприятия». Всегда возникает вопрос, кто должен создавать эти документы. На мой взгляд, если документ полностью посвящен вопросам безопасности, то безопасник. Если документ регламентирует операционные вопросы бизнес-процесса — то владелец бизнес-процесса, (а безопасник вставляет в них свои требования). В любом случае вся нормативная база предприятия должна согласовываться с подразделением безопасности. Шаг 9. Выстроить связи с коллегами-безопасниками из других организаций Особенностью корпоративной безопасности в России является то, что много информации безопасник получает не из официальных документов, а из неформального общения с коллегами. Классических безопасников уровня директора по безопасности не так много — значительно меньше, чем работников других профессий в коммерческих структурах. По моим подсчетам, пару тысяч по всей стране. Все в той или иной степени знакомы между собой и где-то пересекались — либо по службе, либо на каких-нибудь проектах, либо на конференциях или учебе. В последнее время появилось много телграмм-каналов или различных групп в мессенджерах, в которых происходит обмен мнениями и информацией. Это неплохо. Легализовать эту информацию сложно, поэтому статус ее — «информация к размышлению». Еще ее по привычке называют «оперативная информация» или «установка». Что характерно: в среде безопасников существуют свои этические правила. Я не сталкивался с тем, чтобы безопасники топ-уровня обманывали друг друга. Шоворят, конечно, не все, часто недоговаривают. Но не обманывают. И это приятно. Шаг 10. Получить необходимые знания, навыки и компетенции, необходимые в работе на данном предприятии И, наконец, последний шаг. Это получение знаний и компетенций, необходимых для работы на должности директора по безопасности с учетом специфики деятельности предприятия. Говоря современным модным языком, hard skill и soft skill. Что универсально и необходимо безопаснику в современном коммерческом мире? Это знание хотя бы основ информатики и информационной безопасности. Основная работа у безопасника сейчас связана с компьютером, анализом той информации, которая присутствует в корпоративных сетях и базах данных. Работа с людьми тоже присутствует, но в современном дистанционном мире это вторично. Многих удаленных работников безопасник никогда не увидит, но он должен знать и понимать, что они делают, находясь, возможно, на другом конце земли. Еще я бы выделил юридическую грамотность и знание законов предпринимательской деятельности. Современный безопасник должен быть финансово грамотным и понимать законы рыночной экономики, уметь расшифровывать значение цифр и строк в отчетных финансовых документах. Безопасник, не знающий законы рынка, не сможет эффективно работать в коммерческой структуре. Не лишним будет понимать язык, на котором разговаривают руководители и лица, принимающие решения в коммерческих структурах — он несколько отличается от языка, на котором говорят в силовых структурах. Уметь разговаривать с предпринимателями на их языке и сленгах. Ориентироваться в многочисленных иностранных терминах, коими изобилует язык современных коммерсантов — иногда в произносимом ими предложении бывает больше иностранных слов, чем русских. Причем безопаснику надо понимать, что не предприниматели должны подстраиваться под безопасность, а безопасность вынуждена подстраиваться под предпринимательскую деятельность. Из soft skill я бы выделил умение соответствовать этическим требованиям в компании и придерживаться правил корпоративной культуры. Понимать, что не стоит выполнять поставленные перед безопасностью задачи с нарушением норм права и этических правил, принятых в компании. Не помешают психологические навыки, знание основ конфликтологии и оперативной психологии, умение выстраивать доверительные отношения с персоналом. Где всему этому учат?. Как я писал ранее, в России нет программ высшего образования, готовящего специалиста по корпоративной безопасности для коммерческих структур. Сталкивался только с серьезным (я имею ввиду бакалавр или магистратуру) образованием в области информационной безопасности и в области экономической безопасности. Но это только некоторые направления в безопасности. Я бы порекомендовал одно-двух-недельные директорские программы по безопасности и управлению рисками, которые проводятся как в Москве, так и в других городах очно или дистанционно. В некоторых ваш покорный слуга участвует как автор программ и преподаватель. На них можно получить основу системных знаний; остальные знания и навыки лучше получать на точечных семинарах по узким вопросам, а тех случаях, когда системных уже недостаточно. Я бы рекомендовал очное общение: надо понимать, что на вебинарах практически все преподаватели дают неполную и очень общую информацию. Все, что проводится в дистанционном формате, транслируется на всю страну и потом гуляет по просторам интернета, не имеет серьезной ценности в силу своей доступности. Собственно, специалистам и не нужно, чтобы серьезная информация была общедоступна: более подробные и практикоориентированные знания слушатели получают только при живом общении, а также при оффлайн-обучении за закрытыми дверями. Иногда ценность знаний и информации, полученной при общении с коллегами в перерывах между парами более значима, чем сам материал семинара. Это только первые десять шагов. Еще будут одиннадцатый, двенадцатый, двадцатый, сотый и так далее — до тех пор, пока вы не уволитесь из компании. Но это уже совсем другая сказка. Статья была опубликова в журнале «Директор по безопасности», 2021, март — апрель С уважением, команда Moscow Business School

Практические рекомендации по предотвращению и урегулированию конфликтов интересов

Термин «конфликт интересов» появился в российском законодательстве довольно давно — более двадцати лет назад, но в своей преподавательской и консалтинговой деятельности я часто сталкиваюсь с тем, что слушатели, конечно, слышали о таком термине, но не все правильно его понимают и не всегда могут аргументированно классифицировать конкретную ситуацию с позиции антикоррупционного законодательства, направленного на предотвращение и урегулирования конфликтов интересов. В своей статье я постараюсь кратко, и предельно конкретно изложить, что же такое конфликт интересов. И приведу несколько практических примеров из моего опыта участия в работе различных комиссий по данному вопросу. Первый постулат: термин «конфликт интересов» можно рассматривать в сленговом, то есть бытовом варианте, а можно привязать его к нормам законодательства, причем не только антикоррупционного Что такое сленговый вариант? Это когда конфликтуют интересы различных должностных лиц в организации, конфликтуют интересы различных подразделений предприятия, могут конфликтовать даже интересы различных юридических лиц, а также министерств и ведомств. Любые трудовые отношения по своей сути — это тоже конфликт интересов между работником и работодателем. В интересах работодателя сделать так, чтобы работник работал много, и за это платить ему ограниченную сумму денег. Интересы работника прямо противоположны — тратить меньше времени на работу и получать зарплату выше. Таких примеров можно приводить очень много. Все это относится к понятию «конфликт интересов», но в сленговом (бытовом) понимании и никакого отношения к требованиям антикоррупционного законодательства не имеет. В российском праве существует довольно много законов, где применяется понятие «конфликт интересов». Это, конечно, в первую очередь, Федеральный закон «О противодействии коррупции». Но есть еще не один десяток законов, где применяется это понятие. Например, Федеральный закон «Об образовании в Российской Федерации», Федеральный закон «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», Федеральный закон «О некоммерческих организациях» и т.д. В каждом законе могут быть свои термины и классифицирующие признаки. Где-то родственники обозначаются терминами «бабушка» и «дедушка», где-то используют универсальный термин «иные близкие отношения». Отдельно надо сказать о том, что государственные и муниципальные служащие как особенный класс живут по своему отдельному законодательству, довольно жестко регламентирующему понятие конфликта интересов, меры по предотвращению и урегулированию конфликтов интересов и ответственность за непринятие этих мер. Поэтому вопросов по конфликтам интересов на государственной или муниципальной службе возникает значительно меньше. Вывод из первого постулата: когда ситуация классифицируется как «конфликт интересов», то надо понимать, по какому закону мы ее классифицируем. Одно и то же должностное лицо в одной и той же организации в своей повседневной деятельности может попадать в конфликт интересов по требованиям разных законов. Например, если медицинский работник до обеда лечит пациентов, то у него конфликт интересов при осуществлении профессиональной деятельности будет рассматриваться по Федеральному закону «Об основах охраны здоровья граждан в Российской Федерации», а если он после обеда заседает в закупочной комиссии своей клиники, то здесь конфликт интересов будет рассматриваться уже по Федеральному закону «О противодействии коррупции». Второй постулат: конфликт интересов — это противоречие внутри самого человека, занимающего должность на предприятии Чтобы это понять, надо внимательно прочитать понятие «конфликт интересов», применяемое в антикоррупционном законодательстве. Под конфликтом интересов понимается ситуация, при которой личная заинтересованность (прямая или косвенная) лица, замещающего должность, замещение которой предусматривает обязанность принимать меры по предотвращению и урегулированию конфликта интересов, влияет или может повлиять на надлежащее, объективное и беспристрастное исполнение им должностных (служебных) обязанностей (осуществление полномочий). То есть это противоречие между личным и общественным, между интересами предприятия и интересами физического лица, занимающего должность на этом предприятии. Физическое лицо выполняет у работодателя должностные обязанности — выполняет в интересах этой самой организации и работодателя, получая за эту работу заработную плату. Но у этого же физического лица могут быть свои личные интересы (или интересы своих родственников, свойственников или иных, связанных с ним, лиц). Наличие иных личных интересов — не криминал, и практически все работники их имеют. Но если личные интересы работника конфликтуют с интересами юридического лица, где он работает, — вот эта ситуация и классифицируется как конфликт интересов по антикоррупционному законодательству. Как говорится, в интересах организации подороже продать, а в личных интересах подешевле это купить, и все эти противоречия концентрируется в одном работнике. Обращаю внимание, что конфликт интересов не обязательно предполагает материальный ущерб для организации. Вред от конфликта интересов есть всегда, а вот ущерба может и не быть. Он не является обязательным критерием для отнесения конкретной ситуации к конфликту интересов. Когда рассматривается конкретная ситуация, то обязательно учитывается несколько факторов: какие интересы у должностного лица, а какие у организации, какие должностные обязанности у работника, как он связан с иными лицами (если заинтересованность косвенная), есть ли у него властные полномочия, есть ли у него выбор в принятии решений, в чем может быть личная заинтересованность, как она может быть реализована и так далее. Всегда возникает вопрос: если ситуация классифицируется как конфликт интересов, то при его урегулировании чьи интересы должны учитываться в первую очередь? Я полагаю, что интересы организации, а не работника. Трудовые отношения предусматривают возможность работнику в любой момент уволиться по собственному желанию. И если работник считает, что его личные интересы для него более важны, чем интересы предприятия, то его полное право — покинуть работодателя и далее заниматься исключительно своими делами. Вывод из второго постулата: понятие «сторона конфликта интересов», которое часто применяется в антикоррупционном законодательстве, предусматривает, что стороной является работник предприятия. Другой стороной этого конфликта является сама организация, то есть юридическое лицо, где этот работник выполняет трудовые функции. А не другой работник предприятия. Поэтому при рассмотрении вопроса о совместной работе родственников конфликт интересов возникает, как правило, у одного родственника, принимающего управленческие решения в отношении другого. Второй родственник относится к «пассивному» участнику (а не стороне) конфликта интересов. Термин не юридический, но применяемый на практике. Есть, конечно, исключения там, где много должностных лиц участвуют в конфликте интересов. Например, на предприятии создается рабочая группа из нескольких человек, все с одинаковыми полномочиями. И все члены рабочей группы связаны родственными или свойственными связями. В этом случае с одной стороны конфликта интересов будут все члены этой рабочей группы, а с другой стороны будет организация — работодатель. Третий постулат: конфликт интересов — не правонарушение, а ситуация требующая решения. Любое работник может попасть в ситуацию, которая будет классифицирована как конфликт интересов Все работники почему-то очень боятся попасть в ситуацию, которая будет классифицирована как конфликт интересов. И многие руководители считают, что если у их подчиненного возник такой конфликт, то его обязательно надо уволить или, как минимум, наказать. Эту ситуацию немного изменил методический документ с названием «Меры по противодействию коррупции в организациях», изданный Минтрудом России в 2019 году. Цитирую дословно: «Сам по себе конфликт интересов не является правонарушением и тем более не тождественен коррупции: даже при наличии возможности реализовать свой личный интерес работник может отказаться от возможной выгоды и продолжить исполнять свои обязанности должным образом». Конфликт интересов есть просто ситуация, требующая решения. Если рассматривать возможность наказания, то и в трудовом законодательстве, и в законодательстве о государственной или муниципальной службе ответственность наступает не за сам факт конфликта интересов, а за непринятие мер по предотвращению или урегулированию конфликта интересов, стороной которого является работник. По моему опыту, практически каждый работающий человек в возрасте более сорока лет в своей жизни попадал в ситуации, которые можно отнести к конфликту интересов (либо потенциальному, либо реальному), просто раньше это так не называлось. Чаще всего конфликт интересов выражается в совместной работе родственников (свойственников) или в наличии коммерческих интересов в других организациях. Более того, на больших предприятиях, являющихся градообразующими, с конфликтом интересов придется сталкиваться практически каждый день, так все работоспособное население города работает на одном и том же предприятии. Все родственники или свойственники. И ближние и дальние. И у всех есть «иные близкие отношения». Отдельно надо остановиться на малом бизнесе, который часто создается на основе семейных уз и традиций. Семейный бизнес сам по себе не конфликт интересов, в этом контексте предотвращать и урегулировать его не нужно. Нет конфликта интересов, так как есть только одна сторона — учредитель; он же, как правило, генеральный директор, глава семьи и работодатель. Все интересы являются интересами только одной стороны — семьи. А другой стороны в этом случае просто нет. Антикоррупционное законодательство для малых семейных предприятий вообще носит очень общий и рекомендательный характер. Ни антикоррупционных политик, ни кодексов этики там обычно нет. Есть просто требования по соблюдения законодательства о предпринимательской деятельности и честному ведению бизнеса. А помимо норм трудового кодекса еще действуют межличностные семейные отношения, иногда более жесткие, чем трудовые. Вывод из третьего постулата: если возникает хоть малейшее подозрение, что ситуация, в которую вы попали, может классифицироваться как конфликт интересов, следует обязательно уведомить об этом работодателя. Хуже от этого не будет. Если уведомите, но работодатель примет решение о том, что это не конфликт интересов, то претензий к вам не будет. А вот если промолчите, а будет принято решение о том, что это конфликт интересов, то вам придется отвечать за то, что не уведомили. Четвертый постулат: не все работники организации по антикоррупционному законодательству обязаны принимать меры по предотвращению и урегулированию конфликтов интересов Так на кого же распространяется обязанность по предотвращению и урегулированию конфликтов интересов? Ситуация следующая. Согласно статьи 13.3 Федерального закона «О противодействии коррупции», все организации, независимо от статуса, размера, организационно-правовой формы, ведомственной принадлежности и иных классифицирующих признаков, обязаны разрабатывать и принимать меры по предупреждению коррупции. Одна из мер в законе определена как «предотвращение и урегулирование конфликтов интересов». Но это требование распространяется именно на организации и работников не затрагивает. Что же касается работников, то в статье 10 Федерального закона «О противодействии коррупции» определен перечень лиц, на которых законом возлагается обязанность принимать меры по предотвращению и урегулированию конфликтов интересов. К ним относятся: Государственные и муниципальные служащие; Служащие Центрального банка РФ, работники, замещающие должности в государственных корпорациях, публично-правовых компаниях, Пенсионном фонде РФ, Фонде социального страхования РФ, Федеральном фонде обязательного медицинского страхования, иных организациях, создаваемых РФ на основании федеральных законов, лица, замещающие должности финансового уполномоченного, руководителя службы обеспечения деятельности финансового уполномоченного; Работники, замещающие отдельные должности, включенные в перечни, установленные федеральными государственными органами, на основании трудового договора в организациях, создаваемых для выполнения задач, поставленных перед федеральными государственными органами; Иные категории лиц в случаях, предусмотренных федеральными законами. Обращаю внимание — это те, кто по закону обязаны это делать, даже если они с этим не согласны. Даже если в трудовом договоре про это ничего не написано. Для остальных категорий людей, если работодатель хочет, чтобы работник со своей стороны принимал меры по предотвращению и урегулированию конфликтов интересов, это требование должно быть обязательно зафиксировано в трудовом договоре. То есть если работник уже у вас работает, и вы хотите, чтобы он в добровольном порядке взял на себя обязательство по предотвращению и урегулированию конфликтов интересов, то необходимо дополнительное соглашение к трудовому договору, подписываемое в соответствии с нормами Трудового кодекса РФ. Иначе никак. В моей практике были ситуации, когда работодатель, выполняя требования антикоррупционного законодательства, стал разрабатывать нормативные документы по предотвращению и урегулированию конфликтов интересов, но работники отказались что-либо менять в своей трудовой деятельности и добровольно брать на себя еще какие-то обязательства без увеличения заработной платы. Вывод из четвертого постулата: на предприятии желательно определить, для каких должностных лиц требование по предотвращению и урегулированию конфликтов интересов носит обязательный характер — через требования законодательства, а на каких работников вы хотите распространить это требование «добровольно-принудительно» через дополнительное соглашение к трудовому договору. Надо учитывать, что требования антикоррупционной политики или кодекса этики и служебного поведения, принимаемые в организациях, носят повсеместный характер и распространяются на всех работников, в то время как понятие «конфликт интересов» может распространяться на лиц, занимающих отдельные должности на предприятии. Пятый постулат: конфликт интересов может быть потенциальным, то есть возникающим при наступлении определенного событии, а может быть реальным, то есть уже возникшим В антикоррупционном законодательстве применяют два термина: «предотвращение конфликтов интересов» и «урегулирование конфликтов интересов». То есть конфликт интересов может быть потенциальным, а может уже существовать. Потенциальный конфликт интересов возникает при наступлении определенного события — при принятии на работу, при назначении на должность, при принятии управленческого решения. Например, если член аттестационной комиссии в организации будет принимать решение о присвоении классной квалификации своему родственнику, то это потенциальный конфликт интересов. Не может он надлежаще, объективно и беспристрастно принимать такое решение. Поэтому должен взять самоотвод, а иначе потенциальный конфликт интересов трансформируется в реальный. Если начальник подразделения решил жениться на работнице, являющейся его подчиненной, то это тоже потенциальный конфликт интересов. Когда он сделал предложение, этот потенциальный конфликт возник, а как вышли из ЗАГСа, он уже перерос в реальный. Причем все мероприятия по предотвращению конфликтов интересов направлены на то, чтобы на ранней стадии выявлять и не допускать конфликты, а также на то, чтобы они из потенциальных не перерастали в реальные. Как и в любых направлениях, связанных с безопасностью, основная задача — предотвращение рисков и угроз, а не борьба с их последствиями. Поэтому выявление и предотвращение потенциальных конфликтов интересов является одним из основных антикоррупционных мероприятий в организациях. Меня часто спрашивают: если возник реальный конфликт интересов, то это свидетельствует о плохо работающем подразделении по противодействию коррупции? Как правило, так оно и есть. Но зачастую работники и руководители просто плохо понимают, что такое конфликт интересов, а также не хотят менять ситуацию, сложившуюся на предприятии за многие десятилетия. Мол, так было на нашем предприятии и при наших отцах, и при наших дедах, да и мы так живем по привычке. Вывод из пятого постулата: при рассмотрении конкретной ситуации надо принимать решение не просто исходя из того, есть или нет конфликт интересов, но и также оценивать, реальный или потенциальный этот самый конфликт. Если потенциальный, то можно ограничиться простыми мерами, такими, как усиление контроля за ситуацией, чтобы конфликт из потенциального не перерос в реальный. Если конфликт интересов уже реален, то здесь надо действовать решительно, и одними контрольными мероприятиями не отделаешься. Надо уже «разруливать» ситуацию, так как понятие реального конфликта интересов очень быстро может перерости в серьезные правонарушения, такие, как злоупотребление полномочиями или их превышение. Шестой постулат: личная заинтересованность (прямая или косвенная) является обязательным критерием при квалификации ситуации как конфликт интересов Исчерпывающего перечня ситуаций, связанных с конфликтами интересов, нет, поэтому когда требуется оценить конкретную ситуацию, то приходится руководствоваться обязательными признаками, классифицирующими конфликт интересов, изложенными в Федеральном законе «О противодействии коррупции». Их три. Первый — ситуация должна быть связана с должностным положением. Второй — должна иметься личная заинтересованность (прямая или косвенная). Третий — должен наличествовать конфликт интересов должностного лица и самой организации, что не позволяет этому лицу надлежаще, объективно и беспристрастно выполнять свои обязанности. Обращаю внимание, что если нет личной заинтересованности, то и нет конфликта интересов. Поскольку понятие «конфликт интересов» мы рассматриваем в разрезе антикоррупционного законодательства, то напомню обязательные критерии, которые должны присутствовать при классификации ситуации как коррупционной. Их тоже три: нарушение физическим лицом требований законодательства, связь нарушения с должностным положением физического лица и наличие материальной (имущественной) выгоды. Что же такое личная заинтересованность? Под личной заинтересованностью в антикоррупционном законодательстве понимается возможность получения доходов в виде денег, иного имущества, в том числе имущественных прав, услуг имущественного характера, результатов выполненных работ или каких-либо выгод (преимуществ) должностным лицом и (или) состоящими с ним в близком родстве или свойстве лицами (родителями, супругами, детьми, братьями, сестрами, а также братьями, сестрами, родителями, детьми супругов и супругами детей), гражданами или организациями, с которыми это лицо и (или) лица, состоящие с ним в близком родстве или свойстве, связаны имущественными, корпоративными или иными близкими отношениями. Обращаю внимание, что под личной заинтересованностью понимается сама возможность получения материальных благ, независимо от того, воспользовался работник этой возможностью или нет. Должен заметить, что заработная плата, установленная трудовым договором, к «возможности получения доходов» отношения не имеет. В антикоррупционном законодательстве под выгодой (возможностью получения доходов) понимается те материальные блага, которые идут помимо зарплаты. Хотя возможность необоснованных завышений премий может трактоваться как «личная заинтересованность» и соответственно как конфликт интересов. Вывод из шестого постулата: самое сложное в проведении антикоррупционных проверок и расследований — доказать, что должностное лицо имело имущественную выгоду (прямую или косвенную) от нарушений требований закона с использованием своего должностного положения. Самое сложное в антикоррупционном обучении объяснить, что конфликт интересов — это не ситуация, когда должностное лицо использует свое положение для получения дополнительных благ (это уже коррупционное правонарушение), а ситуация, когда только появляется эта возможность, которую добросовестный работник никогда не будет использовать. Седьмой постулат: в законодательстве нет четкого определения понятия «родственники», «свойственники» и «иные близкие отношения» Сложность рассмотрения вопросов, связанных с конфликтом интересов обусловлена еще и тем, что личная заинтересованность может быть не только прямая (самому должностному лицу), но и косвенная (родственникам, свойственникам, а также иным лицам). Все чаще в антикоррупционном законодательстве стали применять термин «доверенное лицо». Чем понятие «родственник» отличается от понятия «свойственник»? Родственник предполагает связь «по роду», то есть «по крови», а свойственник предполагает связь по статусу (по свойству). Поэтому родители и родные дети ъто родственники, а жена и ее родственники — все свойственники. Должен заметить, что в семейном или гражданском законодательстве понятие «родственник» трактуется немного по-другому. Так что же кроется за термином «иные близкие отношения», применяемым в статье 10 Федерального закона «О противодействии коррупции»? Обратимся к трактовке Минтруда Росси: «Должностное лицо, его близкие родственники и свойственники могут поддерживать близкие отношения с дальними родственниками (свойственниками), со своей бывшей супругой (супругом), школьными друзьями, однокурсниками, коллегами по службе (работе), в том числе бывшими, соседями и иными лицами. При этом такие отношения должны носить особый доверительный характер. Признаками таких отношений могут являться совместное проживание, наличие регистрационного учета по одному месту жительства, ведение общего хозяйства, наличие общих внебрачных детей, участие в расходах другого лица, оплата долгов, отдыха, лечения, развлечений другого лица, регулярное совместное проведение досуга, дарение ценного имущества, иные обстоятельства, свидетельствующие о том, что жизнь, здоровье и благополучие близкого человека дороги соответствующему должностному лицу в силу сложившихся обстоятельств.» Вывод из седьмого постулата: при рассмотрении вопросов, связанных с косвенной выгодой при конфликте интересов необходимо выявить и доказать связь должностного лица с получателем этих выгод. Эта связь может быть как юридически прослеживаемой (например, родственные связи), так и не юридической (дружеские отношения, партнерские связи, неофициальные договоренности и т.д.). Но эти связи и отношения во всех случаях должны носить «особый доверительный характер в силу сложившихся обстоятельств». Восьмой постулат: в антикоррупционном законодательстве нет исчерпывающего списка действий, попадающих под понятия «предотвращение конфликта интересов» и «урегулирование конфликта интересов» Если ситуация будет классифицироваться как конфликт интересов, то следующий обязательный шаг — его предотвращение или урегулирование. Сказать «конфликт интересов» и после этого ничего не делать уже не получится. Обращу внимание, что в антикоррупционном законодательстве нет исчерпывающего перечня принимаемых в этом направлении мер. Меры по урегулированию конкретного конфликта могут быть эксклюзивными и более нигде и никогда не применяться. Потому, что сам конфликт интересов может быть очень нестандартным. Из типовых мер по предотвращению конфликтов интересов используют: заполнение декларации о конфликте интересов, уведомление о конфликте интересов, уведомление о получении подарков, внедрение проверочных процедур при принятии кадровых решений, проверка аффилированности в закупочной деятельности и другие. Возможных мер по урегулированию уже возникших конфликтов интересов может быть значительно больше. Это и отстранение работника от совершения действий (принятия решений) в отношении юридического или физического лица, с которым связан его личный интерес, и перевод на другую должность, и изменение трудовой функции, и ограничение доступа к информации. В любом случае принятые меры должны исключить влияние личной заинтересованности работника на принимаемые им решения на работе. Так же хотел бы обратить внимание на тот факт, что в отдельных законах уже сформулированы меры, которые надо принять в случае, если ситуация классифицируется как конфликт интересов. Например, в Федеральном законе «Об акционерных обществах» применяется такое понятие как «сделки, в совершении которых имеется заинтересованность» — заинтересованность отдельных должностных лиц этого акционерного общества. Это тоже конфликт интересов, но в законе уже определено, что надо делать в этом случае. Необходимо осуществить процедуру одобрения этой сделки. Подобное понятие применяется также в Федеральном законе «Об обществах с ограниченной ответственностью», но там несколько другая процедура урегулирования конфликта интересов. Вывод из восьмого постулата: к процедурам предотвращения и особенно к урегулированию конфликта интересов, надо подойти очень внимательно. В уведомлении о конфликте интересов, которое заполняет работник, желательно предусмотреть раздел, в котором сам работник предложит меры, на которые он согласен пойти, для того, чтобы исключить влияние личной заинтересованности на принимаемые им решения. В этом случае работодателю останется только с ними согласиться. Девятый постулат: решение о том, что данная ситуация относится к конфликту интересов принимает сама организация (руководитель, уполномоченное должностное лицо, комиссия и т.д.) Часто возникает вопрос: кто принимает окончательное решение, что конкретная ситуация относится к конфликту интересов? Это внутреннее и суверенное право самой организации, то есть окончательное решение принимает руководитель предприятия. Он может принять его единолично, а может на основании решения комиссии, им созданной. Она обычно так и называется — Комиссия по противодействию коррупции и урегулированию конфликтов интересов. Существуют руководители, которые делегируют это право отдельным должностным лицам, например, руководителю кадрового подразделения или лицу, являющимся ответственным за противодействие коррупции на предприятии. Иногда в организации создаются внутренние документы, утверждающие методику отнесения конкретной ситуации к конфликту интересов. Но чаще всего пользуются методическими документами Минтруда России, которых это министерство издало в достаточном количестве. Что очень рекомендую сделать, так это создать в организации реально работающую комиссию по предотвращению и урегулированию конфликтов интересов, утвердить положение о ней, включить в ее состав несколько независимых членов (для объективности и независимости принятия решения) и подробно вести протоколы ее заседаний. Должен заметить, что обязательность создания подобных комиссий в законодательстве есть только для государственных и муниципальных органов — для обычных организаций это рекомендуемое пожелание. Также нигде не определено, нужно ли утверждать у руководителя предприятия решения этой комиссии. На практике часто сталкивался с тем, что решения комиссии утверждаются единоличным исполнительным органом. Я не сторонник этой практики: без лишней необходимости директору лучше вообще ничего не утверждать. Он самостоятельно принимает решения, учитывая или не учитывая мнение комиссии. Он все же генеральный директор. Поэтому чтобы не конфликтовать с директором, председатель комиссии обычно неофициально согласует с руководителем решения, принимаемые этим коллегиальным органом. Должен заметить, что решений, которые принимает комиссия, может быть только два: ситуация относится к конфликту интересов или не относится. Если относится, то, опять же, могут быть рассмотрены два варианта: потенциальный или реальный это конфликт. И если комиссия считает, что ситуация классифицируется как конфликт интересов, то должна предложить варианты по его урегулированию или предотвращению, которые согласуются с работником, являющимся стороной конфликта интересов. Ведь на многие управленческие решения со стороны работодателя потребуется согласие работника — перевод, изменение должностных обязанностей. Если комиссия считает, что ситуация не является конфликтом интересов, то здесь можно ограничиться фиксацией данного факта в протоколе заседания и больше ничего не делать. Исключение составляют только медики и фармацевты. Рассмотрение вопроса о привлечении их к административной ответственности по статье 6.29. КОАП (невыполнение обязанностей о представлении информации о конфликте интересов при осуществлении медицинской и фармацевтической деятельности) относится к компетенции Росздравнадзора. Вывод из девятого постулата: если вышестоящая организация, а также представители государственных органов классифицируют ситуацию как конфликт интересов, а решение вашей комиссии таково, что эта ситуация не относится к конфликту интересов, то вы смело можете настаивать на своей позиции, подкрепляя ее тем, что это коллегиальное решение уполномоченного органа предприятия, принятое на основе методических документов Минтруда России и всестороннего рассмотрения конкретной ситуации, с соблюдением требований трудового, антикоррупционного и иного законодательства. Самое главное, чтобы в этой ситуации не было других составов правонарушений или преступлений. Теперь, как и обещал, приведу несколько интересных примеров из моей практики. Пример первый. В одной организации был руководитель. И было у него два заместителя, которые были между собой родными братьями. Их должностные обязанности никак не пересекались, они работали автономно и независимо друг от друга. Но в период, когда руководитель был в отпуске, один из братьев выполнял обязанности ВРИО руководителя. И принимал управленческие решения в отношении своего родственника, ставшего его подчиненным. Это потенциальный конфликт интересов. Может предотвращаться, например, назначением другого должностного лица временно исполняющим обязанности или иными мерами (усилением контроля, коллегиальностью принятия решений в отношении своего родственника-подчиненного и т.д.). Пример второй. В другой организации на руководящей должности, связанной с взаимоотношениями с клиентами, работал сотрудник, у которого был гражданский брак с женщиной, занимающей руководящую должность у прямых конкурентов. По чистой случайности эта работница тоже занимала должность, связанную с взаимоотношениями с клиентами. Это реальный конфликт интересов у обоих должностных лиц. В этой ситуации все кончилось печально для обеих компаний: «сладкая парочка» уволилась со своих должностей и создала свой бизнес, переманив в новую компанию клиентов как с первой, так и со второй организации. Как говорится, только бизнес и ничего личного. Поэтому когда работники начинают активно подчеркивать свои конституционные права на частную жизнь, им надо напомнить, что существует много федеральных законов, ограничивающих конституционные права граждан. К которым относится, в том числе, и Федеральный закон «О противодействии коррупции». Данная ситуация еще интересна тем, что если бы при ее возникновении она была бы признана конфликтом интересов, то было бы сложно предложить варианты урегулирования, если работник с ней не согласится. Нельзя же заставить работника прекратить гражданский брак или требовать, чтобы спутница жизни уволилась от конкурентов. В данном случае обычно применяется такая тактика, как «ограничение работнику доступа к информации». Пример третий. Еще в одной организации работала закупочная комиссия, которая приняла решение о выборе победителя конкурса. В последствии оказалось, что один из членов закупочной комиссии ранее работал в организации — победителе конкурса. На вопрос, почему не уведомил комиссию о конфликте интересов, он сообщил, что не считал эту ситуацию конфликтом интересов в связи с тем, что уже двадцать лет как не работает в организации — победителе конкурса, никого в ней уже не знает и никак не лоббировал их интересы при принятии решения об их победе. Эта ситуация интересна тем, что в законе действительно нет «срока исковой давности», на который распространяется понятие конфликта интересов. Я обычно рекомендую предприятиям либо его установить своими правилами, либо все вопросы рассматривать комиссионно, применительно к конкретной ситуации. А работникам порекомендовать сообщать о всех случаях взаимоотношений (как действующих, так и прошлых) с контрагентами компании, как реальными, так и потенциальными. Пример четвертый. На заседании комиссии по предотвращению и урегулированию конфликтов интересов рассматривалась ситуация, связанная с тем, что руководитель одного из подразделений компании просит разрешить ему взять на работу в свое подразделение бывшую жену. Мотивировал он это тем, что брак с ней давно расторгнут и заключен брак с другой женщиной. В данном случае комиссия все равно классифицировала эту ситуацию как потенциальный конфликт интересов в связи с тем, что понятие «конфликт интересов» связано с таким понятием, как «иные близкие отношения», к которым можно отнести и бывшую супругу. Однако комиссия не стала возражать при трудоустройстве этой женщины в иные подразделения организации. Пример пятый. На заседании комиссии по предотвращению и урегулированию конфликтов интересов рассматривалась ситуация, связанная с приобретением должностным лицом организации акций конкурента. Поскольку приобретенное количество акций не позволяло должностному лицу принимать управленческие решения в организации-конкуренте, то комиссия приняла решение о том, что данная ситуация не попадает под понятие «конфликт интересов». Рассмотрение вопроса, насколько этично покупать акции конкурента в компетенцию этой комиссии не входило. Пример шестой. Это пример из недавней практики. Клиент (руководитель одной медицинской организации) задал вопрос, можно ли классифицировать ситуацию как конфликт интересов, если медицинский работник делает пациентам укол от коронавируса и одновременно отговаривает (публично или в приватных беседах) делать эту прививку. Обращаю внимание — не продает сертификаты, а по идеологическим (нематериальным) мотивам убеждает пациентов становиться «антипрививочниками». Но вместе с тем одновременно выполняет свои медицинские обязанности, делает эти прививки, получает зарплату, премии и надбавки. Вопрос непростой. Как я писал ранее, конфликт интересов должен быть обязательно связан с личной заинтересованностью, то есть с возможностью получения доходов в виде денег, иного имущества, в том числе имущественных прав, услуг имущественного характера, результатов выполненных работ или каких-либо выгод (преимуществ). В данном случае имущественной личной заинтересованности нет. То есть это не конфликт интересов. Все, что касается идеологических принципов отдельных врачей, относится к этике и нормам поведения. Нарушение кодекса медицинской этики, мне кажется, здесь налицо. Небольшой формат журнала не позволяет мне рассказать о всех случаях из моей практики, связанных с конфликтом интересов, но должен заметить, что Минтруд России регулярно выпускает методические материалы, связанные с рассмотрением различных ситуаций, попадающих под понятие «конфликт интересов». В заключении своей статьи хочу сказать, что, по моему мнению, на российских предприятиях постепенно приходит понимание термина «конфликт интересов», хотя это, наверное, самый сложнообъяснимый термин в антикоррупционном законодательстве. Но предотвращение и урегулирование конфликтов интересов будет хорошо работать только в тех организациях, где работает кодекс этики и служебного поведения. Но об этом уже в следующих статьях. Используемые нормативные документы Федеральный закон от 25.12.2008 N 273-ФЗ «О противодействии коррупции» (ред. от 31.07.2020) Федеральный закон от 29.12.2012 N 273-ФЗ «Об образовании в Российской Федерации» (ред. от 08.12.2020) Федеральный закон от 05.04.2013 N 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» от (ред. от 30.12.2020) Федеральный закон от 12.01.1996 N 7-ФЗ «О некоммерческих организациях» (ред. от 30.12.2020) Федеральный закон от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (ред. от 22.12.2020) Федеральный закон от 26.12.1995 N 208-ФЗ «Об акционерных обществах» (ред. от 31.07.2020) Федеральный закон от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной ответственностью» (ред. от 31.07.2020) Меры по предупреждению коррупции в организациях 2019 г. утвержденные Минтрудом России Письмо Минтруда России от 26.07.2018 N 18-0/10/П-5146 О методических рекомендациях по вопросам привлечения к ответственности должностных лиц за непринятие мер по предотвращению и (или) урегулированию конфликта интересов Статья была опубликована в журнале «Директор по безопасности», 2021, декабрь С уважением, команда Moscow Business School

Особенности управления компанией, разделённой несколькими часовыми поясами

Аннотация: Тайм-менеджмент — технология, которая позволяет эффективно использовать и оптимизировать один из невосполнимых ресурсов в мире — время. В современном мире уже не существует границ для бизнеса, ни географических, ни тем более часовых. Внедрение корпоративной культуры тайм-менеджмента в компаниях помогает избавиться от потребляющих ресурсы, но не приносящих результатов действий. В этой статье описывается как увеличить эффективность работы компаний, офисы и филиалы которых разделены тысячами километров, внедрив тайм-менеджмент на корпоративном уровне. В мире постоянно развивающихся информационных технологий. В мире, когда мы получаем до 90 % информации в электронном виде рано или поздно должно было произойти изменение в развитии менеджмента. Многие компании как российские, так и зарубежные открывают множество филиалов, находящихся в тысячах километрах друг от друга, разделённые несколькими часовыми поясами. Можно открыть филиал компании во Владивостоке, головной офис которой находится в Калининграде. Но как управлять компанией, когда рабочее время пересекается всего лишь в несколько часов, а то и меньше! Чтобы управлять бизнесом в различных часовых поясах необходимо не только построение хорошей профессиональной команды, но и построение культуры работы внутри команды. Уже давно известно, что тайм-менеджмент это не то, как из 24 выделенных часов сделать 25 и больше, это как наиболее эффективно использовать свои ресурсы согласно с целями компании и человека. Тайм-менеджмент — это технология, которая помогает компании повысить эффективность её работы. Новейшие технологии позволяют устанавливать связь с людьми за тысячи километров друг от друга, но не просто устанавливать связь — общаться, но и работать, как работали бы в одном офисе. Я не буду заострять внимание на инструментах, которые позволяют обеспечить работу команды, находящейся в разных часовых поясах. Я хочу поговорить о том, как эффективно использовать время совместной работы команды, находящейся далеко друг от друга. Рассмотрим пример компании, в которой совместная работа удаётся только 1 час в сутки, из-за разницы во времени. И как я уже писал выше, сейчас это уже не ново. Чтобы компания работала эффективно необходимо привить в компании культуру тайм-менеджмента, культуру уважения ко времени коллег. Необходимо сформировать так называемые «правила игры», по которым и будет работать компания. Чтобы работать и управлять компанией удалённо нужно принятие корпоративных стандартов. Стандартов, направленных на то, как использовать тот небольшой промежуток пересечения рабочих часов наиболее эффективно. Чтобы главный офис всегда знал, когда обратиться к филиалу, в нём должны быть часы с местным временем филиала. Для этого не обязательно иметь дополнительные физические часы, тем более, что мы живем в 21 веке. Необходимо всегда учитывать время своих коллег. Задачи, ставящиеся сотрудникам должны находиться в едином хранилище, с которым возможно работать, в том числе и удалённо, т.е. находясь вне офиса. Основные потоки информации должны передаваться в электронном виде. Главный офис не должен звонить в филиал, когда филиал уже как 4-5 часов закончил рабочий день. И если информация или задача ставится после окончания рабочего времени филиала, то головной офис должен понимать что к задаче приступят не ранее следующего дня, поэтому необходимо в максимально возможных подробностях изложить задачу, чтобы у сотрудника не возникло вопросов к постановщику задачи. Вопросы к задаче не должны превышать двух итераций. Если в компании есть всего лишь один рабочий час пересечения, тогда должна быть принята договорённость о том, чтобы на данный час не планировались выездные встречи, либо сотрудник должен быть готов ответить на обращение в любом случае. Раз в неделю, для того чтобы узнать текущую ситуацию и обозначить новые цели в компании должны проводиться совещания. Оно не должно быть стихийным, желательно закрепить день, когда будет проводиться данное совещание. Оно должно быть с фиксированным временем начала и окончания. Даже если в компании принято проведение совещаний направленных не на соблюдение регламента, а на достижение результата. Это позволит увидеть временные затраты на каждый рассматриваемый вопрос. Для того чтобы совещание проходило эффективно, необходимо: Заранее разослать повестку (необходимо договориться о том, что для компании значит «заранее»). Согласовать все необходимые документы и материалы. Обозначить время на презентацию и время на обсуждение вопроса. Председатель должен контролировать время, отведенное на рассмотрение каждого вопроса. А так же должен обращать внимание на качество обсуждений, чтобы сотрудники не отходили от рассматриваемой темы. По окончании совещания все участники должны иметь у себя протокол совещания и приступить к работе над задачами, поставленными на данном совещании. Но помимо удалённой работы, в компании должны проводиться очные встречи для поддержания командного духа. Такие встречи рекомендуется проводить минимум раз в полгода. Компания, в которой руководитель и каждый рядовой сотрудник уважают не только своё, но и время своих коллег, где все с «правилами игры» согласны и их уважают, будет показывать высокие результаты работы. С внедрением тайм-менеджмента в компанию можно повысить и личную эффективность сотрудников, ведь каждая компания состоит из множества людей.

Конфиденциальное делопроизводство

Составные части делопроизводства: делопроизводство материальных документов; делопроизводство электронных документов; система взаимодействия и сопряжения материальных и электронных документов Структура делопроизводства: документооборот компании; информационное хранилище компании (архив). Угрозы, которым чаще всего подвергаются конфиденциальные документы (конфиденциальная информация): включение конфиденциальной информации в открытые документы; включение в конфиденциальные документы избыточной информации; ознакомление избыточно большого количества сотрудников с конфиденциальными документами; нарушение установленных правил работы с конфиденциальными документами; несанкционированное создание конфиденциальных документов; занижение грифа конфиденциальности (при их наличии); отсутствие регистрации черновиков, вариантов документа и т.д. При создании конфиденциального делопроизводства необходимо ответить на вопросы: Общие вопросы: возможна ли оптимизация информационных потоков с целью минимизации затрат на создание конфиденциального делопроизводства; какие грифы конфиденциальности ставить на документах (конфиденциально, строго конфиденциально, ознакомление по списку, графические фигуры и т.д.); кто осуществляет присвоение и снятие грифа конфиденциальности; какой порядок пересмотра грифа конфиденциальности; какое подразделение (должностное лицо) ведет учет конфиденциальных документов (ведение реестра), а также учет их перемещения; кто определяет, какие документы содержат конфиденциальную информацию; какие документы (кроме конфиденциальных) включать в систему конфиденциального делопроизводства (бланки строгой отчетности, номерные документы и др.); как создавать конфиденциальное делопроизводство — отдельно или на базе существующего открытого делопроизводства; кому подчинить конфиденциальное делопроизводство и кто будет ее проверять и курировать; какой порядок размещения конфиденциальных документов в СМИ, Интернете и в рекламных материалах; какой порядок доступа к конфиденциальным документам представителей государственных структур; как осуществлять контроль за конфиденциальным делопроизводством, в том числе за использованием копировально-множительной техники; какие создать инструкции для обеспечения деятельности конфиденциального делопроизводства; как осуществлять проверку конфиденциального делопроизводства (плановая, внеплановая) Процедурные вопросы: какой порядок создания конфиденциальных документов; какой порядок ведения черновых конфиденциальных записей; какой порядок уничтожения конфиденциальных документов (коллегиальность решения, использование шредеров, регистрация об уничтожении и т.д.); какой порядок пользования конфиденциальными документами; какой порядок размножения (копирования) конфиденциальных документов; какой порядок распечатывания конфиденциальных документов; какая процедура индексации документов; как осуществлять прием-передачу конфиденциальных документов (в том числе при уходе в отпуск, болезни и т.д.); какой порядок учета ознакомления с конфиденциальными документами; какой порядок ведения конфиденциальных документов в актуальном состоянии; какой порядок конвертования конфиденциальных документов; какой порядок доклада и подписи конфиденциальных документов; какая роль секретарей в работе с конфиденциальными документами; какая процедура регистрации документов; как осуществлять поиск документов (по дате, по номерам, по тематике, по исполнителям и т.д.); как осуществлять санкционированные выписки из конфиденциальных документов; как формировать дела с конфиденциальными документами; как осуществлять рассылку конфиденциальных документов; какой порядок выноса конфиденциальных документов с контролируемой территории; какой порядок работы с конфиденциальными документами в командировках; как осуществлять контроль и учет конфиденциальных документов (в бумажном или в электронном исполнении); какой порядок перемещения конфиденциальных документов между территориально удаленными объектами компании; какую установить процедуру хранения дубликатов ключей, смены кодов, опечатывания, вскрытия сейфов, а также его использования после утери ключа; как создать карточку конфиденциальности документа. Технические вопросы: как оборудовать помещения, где находятся конфиденциальные документы; как осуществлять противопожарную защиту помещений секретариатов, в том числе как осуществить экстренную эвакуацию конфиденциальных документов; как обеспечить физическую сохранность конфиденциальных документов при их хранении; как осуществить защиту конфиденциальных документов от аппаратуры промышленного шпионажа. Вопросы IT-безопасности как осуществлять защиту конфиденциального документа, представленного в электронном виде; какие использовать средства криптографической защиты информации; где расположить сервер с конфиденциальными документам, представленными в электронном виде, и какой будет порядок доступа к ним; как осуществлять резервное копирование конфиденциальных документов, представленных в электронном виде; как осуществлять антивирусную защиту. Кадровые вопросы: какой перечень сотрудников (должностей), имеющих право на доступ к конфиденциальным документам (в том числе есть ли этот доступ у юристов, финансистов и редакторов); как оформлять обязательство сотрудника о сохранении информации, содержащейся в конфиденциальных документах; какой порядок проведения проверок сотрудников, работающих с конфиденциальными документами; какая будет мотивация персонала, работающего с конфиденциальными документами; как организовать обучение персонала, работающего с конфиденциальными документами; какой порядок оформления разрешения (допуска) на работу с конфиденциальными документами; какие возможны превентивные мероприятия, направленные на недопущение разглашения конфиденциальной информации сотрудниками, работающими с конфиденциальными документами; какой порядок проведения внутренних расследований по фактам разглашения конфиденциальной информации. Материально-технические вопросы: какие закупить сейфы для сохранности конфиденциальных документов; какие закупить шредеры для уничтожения конфиденциальных документов. Вопросы по созданию архива где расположить архив конфиденциальных документов; как осуществлять выдачу конфиденциальных документов из архива (кто имеет право получать документы, срок возвращения, контроль за возвращением документов и т.д.); какой порядок работы экспертной комиссии. Создание делопроизводства материальных документов. Порядок создания 1 этап — создание Секретариата (подразделения, отвечающего за делопроизводство) или введение в штат должности, в чьи функциональные обязанности будет входить обеспечение делопроизводства организации. 2 этап — определение как будут создаваться, учитываться, перемещаться и храниться документы. 3 этап — закупка необходимых принадлежностей для функционирования делопроизводства (сейфы, печати, оборудование для помещений и т.д.). 4 этап — создание необходимых нормативных документов (инструкций, должностных обязанностей и т.д.). 5 этап — доведение нормативных документов до сотрудников в рамках функциональных обязанностей. 6 этап — создание механизмов контроля за соблюдением делопроизводства. 7 этап — создание механизма ответственности за нарушение правил делопроизводства. Делопроизводство должно быть организовано в соответствии с ГОСТами, применяемыми в Российской Федерации. Основа — ГОСТ 6.30–97 «Унифицированные системы документации. Система организационно—распорядительной документации. Требования к оформлению документов». Создание делопроизводства материальных конфиденциальных документов. Порядок создания 1 этап — создание делопроизводства открытых материальных документов. 2 этап — определение перечня сведений конфиденциального характера и документов, содержащих конфиденциальные сведения. 3 этап — утверждение перечня сведений конфиденциального характера у руководства, определение порядка и сроков пересмотра данного перечня, а также снятие грифа конфиденциальности. 4 этап — определение правил делопроизводства материальных конфиденциальных документов (создание, регистрация, перемещение, хранение, уничтожение документов) на основе делопроизводства материальных документов. 5 этап — определение технических, инженерно-технических и IT решений по защите материальных конфиденциальных документов и их электронных копий. 6 этап — определение порядка допуска сотрудников к сведениям конфиденциального характера. 7 этап — заключение договоров о сохранении конфиденциальной информацией между компанией и сотрудниками, допущенными к работе с конфиденциальной информацией. 8 этап — создание необходимых нормативных документов (инструкций, должностных обязанностей и т.д.). 9 этап — доведение нормативных документов до сотрудников в рамках функциональных обязанностей. 10 этап — создание механизмов контроля за соблюдением делопроизводства материальных конфиденциальных документов. 11 этап — создание механизма ответственности за нарушение правил делопроизводства материальных конфиденциальных документов. Делопроизводство материальных документов. Составные части: делопроизводство, связанное со стандартными, но специфическими задачами бухгалтерия; учредительные документы; судебно-процессуальные документы; договорные документы и т.д. внешнее делопроизводство доставка входящей корреспонденции (в бумажном виде, в виде факса и т.д.); отправление исходящей корреспонденции (в бумажном виде, в виде факса и т.д.); внутреннее делопроизводство хранение документов (у сотрудников, в Секретариате); создание документов; издание нормативных документов руководством организации (приказы, распоряжения и т.д.); регистрация документа в Секретариате; движение документа внутри организации. Создание реестровой системы передачи документов; размножение документов (снятие копий); контроль за исполнением документов; создание архивов документов. Экспертиза ценности документов. Возможность использования в работе документов, определенных в архив; уничтожение документов. Необходимые нормативные документы для функционирования делопроизводства, в том числе конфиденциального: о внесении изменений и дополнений в нормативно-правовые документы организации: в Устав организации; в «Коллективный договор»; в правила внутреннего трудового распорядка для сотрудников; в трудовой договор; во все заключаемые договора. договор между компанией и сотрудником о сохранении конфиденциальной информации; инструкция по обеспечению сохранности конфиденциальной информации в компании. Примерный план инструкции: общие положения; определение информации и обозначение документов, содержащих конфиденциальную информацию, и сроков ее действия; организация работы с конфиденциальными документами; порядок сохранности документов, дел и изданий, содержащих конфиденциальную информацию; порядок допуска к сведениям, составляющим конфиденциальную информацию; контроль за выполнением требований внутриобъектового режима при работе со сведениями, содержащими конфиденциальную информацию; обязанности сотрудников компании, работающих со сведениями конфиденциального характера, и ответственность за их разглашение. инструкция по организации делопроизводства. Инструкция должна состоять из следующих разделов: общие положения; правила составления и оформления документов; составление и оформление основных видов документов; организация документооборота: порядок движения и обработки входящих документов; порядок движения и обработки исходящих документов; порядок движения и обработки внутренних документов; регистрация документов; контроль исполнения документов; систематизация документов; разработка номенклатуры дел; формирование дел; подготовка документов к архивному хранению; экспертиза ценности документов; описание документов постоянного и временного сроков хранения; обеспечение сохранности дел; передача дел в архив; Кроме того, Инструкция по организации делопроизводства должна иметь ряд приложений: примерный перечень документов, не подлежащих регистрации; перечень документов, на которые ставится печать; перечень документов, подлежащих утверждению; перечень документов, подлежащих согласованию; форма регистрационной контрольной карточки; перечень документов, подлежащих контролю за исполнением, с указанием сроков хранения; акт о выделении к уничтожению документов с истекшими сроками хранения; внутренняя опись документов дела; опись дел, передаваемых на архивное хранение. инструкция по конфиденциальному делопроизводству. Данная инструкция включает: определение порядка выноса-вноса конфиденциальных документов применительно к охраняемой территории; определение порядка работы с конфиденциальными документами вне служебных помещений; изготовление и использование бланков организации, печатей и штампов; определение порядка использования бланков строгой отчетности (бланков компании, подготавливаемых за подписью первых лиц); порядок передачи конфиденциальных документов в случае ухода в отпуск, командировку или увольнения с работы; определение порядка подготовки конфиденциальных документов, его согласование, в том числе с юристами, финансистами, а также порядок подписи конфиденциальных документов; определение порядка пересылки конфиденциальных документов вне контролируемых помещений. положение о Секретариате; должностные обязанности сотрудников Секретариата по обеспечению делопроизводства. Делопроизводство электронных конфиденциальных документов должно состоять из следующих взаимосвязанных систем: системы документооборота электронных конфиденциальных документов; системы информационного хранилища электронных конфиденциальных документов (архив); системы защиты электронных конфиденциальных документов; системы сопряжения документообоотов (материальных и электронных конфиденциальных документов. Система документооборота электронных конфиденциальных документов должна предусматривать следующие возможности: создание электронного конфиденциального документа: создание электронных документов с помощью текстовых редакторов, включая создание электронных документов по типовым формам; создание составных электронных документов, состоящих из нескольких разных по формату файлов; создание электронных документов с помощью сканирования документа на материальном носителе; создание электронных документов с помощью иных электронных данных, полученных с помощью электронной почты, корпоративной компьютерной сети, устройств ввода компьютерной информации и т.д. использование цифровой подписи для подтверждения авторства и подлинности электронного конфиденциального документа; работа с электронными конфиденциальными документами различных форматов (текстовых, графических и т.д.); создание регистрационных карточек электронных документов, связки регистрационной карточки с электронным документом и присвоение необходимых реквизитов, среди которых: дата создания, получения, исполнения; регистрационный номер; фамилия, имя, отчество исполнителя, адресата; права доступа; конфиденциальность; количество листов и т.д. разделение документов по виду конфиденциальности, присвоение каждому документу грифа конфиденциальности и разграничение права пользователей работы с конфиденциальными документами по мандатному принципу; получение и отправление электронных конфиденциальных документов по корпоративной компьютерной сети, а также по электронной почте; работа с взаимосвязанными документами, поддержание возможности установления гиперссылок между учетными карточками или документами, связанных тематически, отменяющих или дополняющих друг друга; контроль передвижения электронных конфиденциальных документов по сети и контроль ознакомления с ними, а также контроль за копированием, редактированием и размножением электронных конфиденциальных документов; контроль исполнения резолюций, поручений, сроков исполнения, а также возможность сигнального режима, как составной части контроля. поиск электронных конфиденциальных документов по: реквизитам; ключевым словам; содержанию; дате создания; контрольным срокам; исполнителю и т.д. анализ электронных конфиденциальных документов по: тематике; проблематике; исполнителям; резолюциям; дате создания и т.д. дублирование (архивирование) электронных конфиденциальных документов с заданной периодичностью; разделение конфиденциального и открытого делопроизводства электронных документов. Система информационного хранилища электронных конфиденциальных документов должна предусматривать возможность: систематизации поступающих в хранилище электронных конфиденциальных документов различных видов и форм и упорядочения работы с ними; сохранения электронных конфиденциальных документов в массивах хранилища; отслеживания движения электронных конфиденциальных документов, выдаваемых сотрудникам, контроля и обеспечения их возврата или уничтожения; обеспечения эффективного поиска нужных электронных конфиденциальных документов в хранилище по идентификационным признакам; обеспечения подтверждения легитимности цифровой подписи, применяемой для подтверждения авторства и подлинности электронных конфиденциальных документов; обеспечения режима безопасности электронных конфиденциальных документов в процессе их хранения, передачи в хранилище или получения из хранилища за счет использования современных технологий и средств информационной безопасности, а также разграничение доступа пользователей. Система защиты электронных конфиденциальных документов должна состоять из следующих взаимосвязанных блоков: блок технических (программных) средств защиты электронных конфиденциальных документов; блок защиты электронных конфиденциальных документов, связанных с человеческим фактором; блок организационных методов защиты электронных конфиденциальных документов. Блок технических (программных) средств защиты электронных конфиденциальных документов состоит из рубежей 1 рубеж — системы защиты информации, предусмотренные программным обеспечением, на которой работает компьютерная сеть; 2 рубеж — системы защиты информации, встроенные в саму систему делопроизводства электронных конфиденциальных документов; 3 рубеж — системы защиты информации, дополнительно установленные в компьютерной сети на сервере и на рабочих местах пользователей. Блок технических (программных) средств защиты электронных конфиденциальных документов должен предусматривать: криптографическую защиту информации при хранении и при перемещении электронных конфиденциальных документов по корпоративной компьютерной сети, сети Интернет, электронной почте; защиту информации от несанкционированного доступа; мандатный принцип доступа пользователей к информационным ресурсам конфиденциального делопроизводства; контроль и защиту электронного конфиденциального документа от просмотра, изменения, копирования, распечатывания (перевода электронного документа в материальную форму); контроль целостности и достоверности электронного конфиденциального документа, а также подтверждение авторства исполнителя с помощью цифровой подписи; защиту от вредоносных программ (вирусов). Система сопряжения документообоотов (материальных и электронных конфиденциальных документов предусматривает возможность: перевода материального конфиденциального документа в электронный конфиденциальный документ; перевода электронного конфиденциального документа в материальный конфиденциальный документ; параллельного хождения одного и того же документа в электронном и материальном виде.

Правовая защита бизнеса

Общие правила проведения проверок в соответствии с ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)»: проверки условно можно разделить на: проводимые в рамках государственного контроля по выявлению административных правонарушений; налоговые проверки; проверки, которые проводят сотрудники полиции. в отношении одного юридического лица или индивидуального предпринимателя плановое мероприятие по контролю (проверка) может быть проведено с периодичностью не более 1 раза в 2 года; в отношении субъекта малого предпринимательства плановое мероприятие по контролю (проверка) может быть проведено не ранее чем через 3 года с момента его государственной регистрации; закон закрепляет ряд принципов защиты прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора), в том числе: соответствие предмета проводимого мероприятия по контролю компетенции контролирующего органа; учет мероприятий по контролю в виде журнала, в котором указывается проверяющий орган, должностное лицо, осуществляющее проверку, номер и дата выдачи его удостоверения, основание проведения проверки (распоряжение, постановление и т.д.), дата и время начала и окончания проверки, результаты проведения проверки, предписания для устранения выявленных нарушений, подпись должностного лица (лиц), проводивших проверку; недопустимость взимания органами государственного контроля платы с юридических лиц и индивидуальных предпринимателей за проведение мероприятий по контролю; недопустимость непосредственного получения органами контроля отчислений от сумм, взысканных с юридических лиц и индивидуальных предпринимателей в результате проведения мероприятий по контролю. внеплановые проверки проводятся в строго определенных законом случаях: если получена информация об обстоятельствах (авария, выход из строя сооружения, оборудования и т.д.), которые могут причинить вред жизни, здоровью, окружающей среде и имуществу граждан, юридических лиц или индивидуальных предпринимателей; если возникает угроза жизни, здоровью, загрязнения окружающей среды, повреждения имущества юридических лиц или индивидуальных предпринимателей; обращений граждан, юридических лиц и индивидуальных предпринимателей с жалобами на нарушение их прав и законных интересов иными юридическими лицами и индивидуальными предпринимателями. При этом необходимо учитывать, что обращение, не позволяющее установить лицо, обратившееся в орган государственного контроля, не может служить основанием для внеплановой проверки. продолжительность проверки не может быть более 1 месяца, в исключительных случаях (необходимо заключение эксперта, мнение специалиста) проведение проверки может быть продлено еще на 1 месяц; проверяющий орган не вправе осуществлять проверку в случае отсутствия проверяемых должностных лиц, индивидуальных предпринимателей или их представителей; проверяющий не вправе проверять выполнение обязательных требований, не относящихся к компетенции органа государственного контроля (надзора), от имени которых действуют должностные лица; мероприятия по контролю проводятся на основании распоряжений (приказов) органов государственного контроля (надзора), в которых указывается: номер и дата распоряжения (приказа) о проведении мероприятия по контролю; наименование органа государственного контроля (надзора); ФИО и должность лица (лиц), уполномоченного на проведение мероприятия по контролю; наименование юридического лица или фамилия, имя, отчество индивидуального предпринимателя, в отношении которых проводится мероприятие по контролю; цели, задачи и предмет проводимого мероприятия по контролю; правовые основания проведения мероприятия по контролю, в том числе нормативные правовые акты, обязательные требования которых подлежат проверке; дата начала и окончания мероприятия по контролю. результатом проведения проверки является составление акта проверки, составляемой в двух экземплярах (один из которых вручается проверяемой организации), в котором указывается: дата, время и место составления акта; наименование органа, осуществившего проверку; дата и номер документа, на основании которого проведена проверка; ФИО и должность лица (лиц), проводившего проверку; наименование юридического лица или индивидуального предпринимателя, ФИО, должность представителя, присутствующего при проведении проверки; дата, время и место проведения мероприятий по контролю; сведения о результатах проверки; сведения об ознакомлении или об отказе в ознакомлении с актом представителя юридического лица или предпринимателя. Кроме того, могут быть составлены следующие документы: протокол об административном правонарушении; объяснения правонарушителя; протокол об изъятии вещей и документов; объяснение потерпевшего; объяснение свидетелей; заключение эксперта. В процессе проверки возможно изъятие вещей и документов. В этом случае об изъятии составляется протокол. Копия протокола вручается лицу, у которого изъяты вещи и документы, или его законному представителю. Допускается изъятие лишь вещей, явившихся орудием совершения или предметами административного проступка, и документов, имеющих значение доказательств по делу. Вещи и документы изымаются на время — до принятия решения по делу. После рассмотрения дела они либо конфискуются, либо реализуются (при возмездном изъятии), либо изымаются из оборота и передаются в соответствующие организации (или уничтожаются), либо возвращаются законному владельцу. В протоколе указываются: сведения о количестве, виде и реквизитах всех изъятых документах (опись документов); производилась ли фото- и киносъемка, видеозапись; подпись лица, его составившего подпись должностного лица организации; подпись понятых. Организация может заинтересовать налоговые органы при следующих показателях деятельности: налоговая нагрузка у организации ниже ее среднего уровня по хозяйствующим субъектам в конкретной отрасли (виду экономической деятельности). Налоговая нагрузка рассчитывается как соотношение суммы уплаченных налогов (по данным налоговых органов) и оборота организаций (по данным Росстата); отражение в бухгалтерской или налоговой отчетности убытков на протяжении нескольких налоговых периодов; отражение в налоговой отчетности значительных сумм налоговых вычетов за определенный период (доля вычетов по НДС от суммы начисленного с налоговой базы налога равна либо превышает 89% за период 12 месяцев); опережающий темп роста расходов над темпом роста доходов от реализации товаров (работ, услуг). Несоответствие темпов роста расходов по сравнению с темпом роста доходов, отраженных в налоговой и финансовой отчетности; выплата среднемесячной заработной платы на одного работника ниже среднего уровня по виду экономической деятельности в субъекте РФ. Информацию об указанных статистических показателях можно получить из ряда источников: сайты Росстата и управлений ФНС по субъектам РФ и т.д.; неоднократное приближение к предельному значению установленных Налоговым кодексом РФ величин показателей, предоставляющих право применять налогоплатильщикам специальные налоговые режимы; отражение индивидуальным предпринимателем суммы расхода, максимально приближенной к сумме его дохода, полученного за календарный год; построение финансово-хозяйственной деятельности на основе заключения договоров с контрагентами-перекупщиками или посредниками (цепочки контрагентов) без наличия разумных экономических или иных причин (деловой цели); непредоставление организацией пояснений на уведомление налогового органа о выявлении несоответствия показателей деятельности (выявление в ходе камеральной налоговой проверки ошибки в налоговой декларации или противоречия между сведениями, содержащимися в представленных документах и т.д.); неоднократное снятие с учета и постановки на учет в налоговых органах организации в связи с изменением местонахождения; значительное отклонение уровня рентабельности по данным бухгалтерского учета от уровня рентабельности для данной сферы деятельности по данным статистики; ведение финансово-хозяйственной деятельности с высоким налоговым риском. Сведения о способах ведения финансово-хозяйственной деятельности с высоким налоговым риском размещается на сайте ФНС РФ При взаимоотношениях с контролирующими и правоохранительными органами в рамках расследований административных правонарушений желательно знать: споры предпринимателей и государственных органов по поводу привлечения к административной ответственности подведомственны Арбитражному суду РФ. При рассмотрении спора о наложении штрафа в суде действует норма: обязанность доказать обстоятельства, на основании которых налагается штраф, лежит на органе, принявшем соответствующий документ. При этом не допускается использование доказательств, полученных с нарушением федерального закона. Таким образом, при рассмотрении дела в суде недостатки в протоколах, актах и иных документах, составленных с нарушением закона, приводят к недействительности указанных документов; в случае выявления административного правонарушения составляется протокол об административном правонарушении. Это значит, что если протокола нет, то нет и самого правонарушения, различные акты изъятия товара и документов никакой юридической силы не имеют. То же самое означает и составление протокола неуполномоченным лицом. Следует также иметь в виду, что протокол об административном правонарушении должен быть составлен в присутствии предпринимателя, ему должны быть разъяснены права, а также по его просьбе должна быть вручена копия протокола. Протокол не может подписывать, например, продавец, поскольку он не является законным представителем юридического лица или индивидуального предпринимателя, так как представительство возможно только на основании доверенности или приказа. В случае отсутствия правонарушителя, например, есть только продавец, но нет самого предпринимателя или должностных лиц организации или их представителей, протокол составляется позже, при вызове предпринимателя в полицию или контролирующий орган; протокол об административном правонарушении составляется немедленно после выявления совершения административного правонарушения. В случае, если требуется дополнительное выяснение обстоятельств дела либо сведений о нарушителе, протокол составляется в течение 2-х суток с момента выявления административного правонарушения; законом предусмотрены случаи (в т.ч. в области законодательства о защите прав потребителей, налогов и сборов, таможенного дела), когда уполномоченным должностным лицом принимается определение о проведении административного расследования. Срок проведения расследования не может превышать 1 месяц с момента возбуждения дела об административном правонарушении, в исключительных случаях может быть продлен на 1 месяц, а по делам о нарушении таможенных правил — до 6 месяцев. В этом случае протокол составляется по окончании административного расследования; в протоколе об административном правонарушении указываются: дата и место его составления; ФИО лица, составившего протокол; сведения о нарушителе; место, время совершения и существо административного правонарушения; нормативный акт, предусматривающий ответственность за данное правонарушение; фамилии, адреса свидетелей и потерпевших, если они имеются; объяснения нарушителя; иные сведения. в протоколе об административном правонарушении должны быть отражены следующие сведения, которые могут оказаться важными для Вас: личные сведения — о месте жительства, семейном положении, количестве иждивенцев и т.д., необходимость указания которых обусловлена тем, что при наложении взыскания учитываются личность и имущественное положение нарушителя, а также смягчающие обстоятельства; сведение о том, привлекался ли нарушитель ранее к административной ответственности; должны быть указаны время совершения правонарушения (так как взыскание может быть наложено в течение 2-х месяцев со дня совершения правонарушения), существо правонарушения и нормативный акт, который был нарушен (необходимо для правильной квалификации правонарушения). дело считается возбужденным с момента составления первого официального документа: составления первого протокола о применении мер обеспечения производства по делу об административном правонарушении; составления протокола об административном правонарушении или вынесения прокурором постановления о возбуждении дела об административном правонарушении; вынесение определения о возбуждении дела об административном правонарушении при необходимости проведения административного расследования; оформления предупреждения или с момента наложения (взимания) административного штрафа на месте совершения административного правонарушения в случае, когда протокол об административном правонарушении не составляется. наличие протокола об административном правонарушении является обязательным условием рассмотрения дела; дело об административном правонарушении должно быть рассмотрено в 15-дневный срок. В случае поступления ходатайств от участников производства по делу либо в случае необходимости в дополнительном выяснении обстоятельств срок рассмотрения может быть продлен, но не более чем на 1 месяц; дело может быть рассмотрено в отсутствие правонарушителя только в случае, если имеются доказательства его уведомления о времени и месте рассмотрения. Надлежащим уведомлением считается: получение повестки путем вручения или отправления по почте (причем расписываться за получение повестки может только сам нарушитель или его законный представитель, суд признает надлежащим уведомление и вручение повестки лицу, которое фактически выполняет функции администрирования на основании приказа или доверенности); роспись нарушителя в протоколе или акте под извещением о времени и месте рассмотрения дела. лицо, в отношении которого ведется производство по делу об административном правонарушении, вправе: знакомиться со всеми материалами дела; давать объяснения; заявлять ходатайства и отводы; пользоваться юридической помощью защитника. по окончании рассмотрения дела выносится постановление, в котором должны быть указаны: должность, ФИО судьи, должностного лица, вынесших постановление; дата и место рассмотрения дела; сведения о лице, в отношении которого рассмотрено дело; обстоятельства, установленные при рассмотрении дела; статья кодекса или закона, предусматривающая ответственность за совершение административного правонарушения; мотивированное решение по делу; срок и порядок обжалования; решения вопросов об изъятых вещах и документах. административное взыскание может быть наложено не позднее 2-х месяцев со дня совершения правонарушения, а при длящемся правонарушении — 2-х месяцев со дня его обнаружения. Таким образом, если со дня совершения (обнаружения) правонарушения прошло более 2-х месяцев, административное взыскание незаконно и не подлежит исполнению; постановление о назначении административного наказания не подлежит исполнению, если это постановление не было приведено в исполнение в течение года со дня его вступления в законную силу. С учетом материального положения лица уплата административного штрафа может быть отсрочена на срок до 1 месяца или рассрочена на срок до 3-х месяцев; адвокат допускается к участию в производстве по делу об административном правонарушении с момента составления протокола об административном правонарушении либо с момента административного задержания. Полномочия адвоката удостоверяются ордером, выданным адвокатским образованием на основании заключенного ранее соглашения с предпринимателем. Психологические приемы защиты при взаимодействии с государственными органами желательно не давать сразу объяснения проверяющим, вы имеете право предоставить объяснение позже при рассмотрении дела. Ответственность за отказ от объяснения, в т.ч. и в момент составления протокола, не предусмотрена, так как предоставление объяснений является правом, а не обязанностью; уверенный, спокойный (не заискивающий) тон в разговоре с проверяющими. Не предлагать сразу чай, деньги и т.д.; стараться все делать медленно. Находиться в состоянии психологической расслабленности. Торопливость и суетливость показывает Вашу нервозность; стараться следить за речью, говорить как можно меньше, взвешивая каждое слово. Отвечать по возможности односложно; просить представителей контролирующих органов задавать вопросы в максимально полной форме, с пояснениями; в некоторых случаях эффективен акцент на то, что Вас спровоцировали; проверяющие стараются найти самое слабое звено с точки зрения человеческого фактора (как правило, это женщины в возрасте, имеющие детей) и обрабатывают его значительно сильнее остальных с целью получить необходимую информацию; проверяющие часто используют метод кнута и пряника (добрый и злой следователь); проверяющие часто используют психологические приемы, основанные на блефе или на провокациях (а Ваши коллеги уже все рассказали); стараться следить за своим невербальным общением, оно может Вас выдать; не говорить сразу о нарушениях, которые допускают проверяющие, может быть их можно использовать как доказательство Вашей невиновности в суде или для утверждения, что доказательства получены незаконным путем; использовать психологический прием: «чтобы что то скрыть надо что то показать». Целесообразно подсовывать проверяющим мелкие нарушения Вашей деятельности, скрывая крупные; стараться не конфликтовать по мелочам; иногда есть смысл подчеркнуть, что Вы лично и Ваша фирма являетесь исправным налогоплательщиком, и часть из этих средств идёт и на обеспечение зарплаты представителей контролирующих органов. Превентивные организационные приемы защиты при взаимодействии с государственными органами иметь телефоны местных государственных органов, которые могут прийти с проверкой, их руководителей, а также вышестоящих организаций. Быть лично с ними знакомым. Также иметь контакты подразделений собственной безопасности проверяющих органов, прокуратуры, журналистов, депутатов, органов власти и судов; иметь образцы документов, которые могут предъявлять или составлять проверяющие в процессе проверки (служебные удостоверения, постановления, решения, акты и т.д.); использовать диктофоны, системы видеонаблюдения компании для контроля за действиями проверяющих; наладить отношения с прокуратурой, журналистами, депутатами и подразделениями собственной безопасности полиции для дальнейшего отстаивания своих интересов; установить «тревожную кнопку» вневедомственной охраны и использовать ее при неожиданных приездах проверяющих; заключить гражданско-правовой договор с частной охранной организацией по охране компании. Возложить на него обязанность создания контрольно-пропускного режима и разработать алгоритм действий охранников при приходе проверяющих. Это позволит выиграть время, а при возможных конфликтах компания все равно не будет отвечать за действия сотрудников частной охранной организации; создать алгоритм действий охранников при приходе проверяющих; обратить внимание на нахождение сервера компании. Опасную информацию (черную кассу и т.д.) хранить в месте, не связанном с самой компанией (аренда банковской ячейки, съемные квартиры, сервер в припаркованной машине рядом с офисом, аренда сервера, находящегося в другой стране и т.д.); использовать режим коммерческой тайны для защиты информационных ресурсов компании (к коммерческой тайне можно получить доступ только с санкции суда); использовать режимы различных тайн для защиты информации при приходе проверяющих (сдать в аренду помещения для адвокатских кабинетов, для организаций, работающих с государственной тайной и т.д.); использовать площади иных организаций, находящихся с компанией по одному адресу для экстренного перебрасывания документов на их территорию при приходе проверяющих; организационно предусмотреть, чтобы в момент проверки не было ни собственника, ни законного представителя, действующего по доверенности. В этом случае проверка либо не проводится, либо приглашаются работники органов исполнительной власти или органов местного самоуправления; сделать заверенные копии всех важных документов и уже их предъявлять проверяющим. Это поможет избежать изъятия подлинников документов. Следует иметь в виду, что в суде в качестве документальных доказательств признаются только оригиналы документов; оттягивать сроки предоставления документов по запросам контролирующих органов (например, отправить ответ в виде просьбы уточнить какие именно документы интересуют проверяющих) и предоставлять только минимальное количество документов, требующихся по данному запросу. Правовые приемы защиты при взаимодействии с государственными органами При предъявлении обвинений и вынесения наказания со стороны судебных, контролирующих и правоохранительных органов желательно выяснить следующие вопросы (в порядке представленной очередности т.е. к следующему вопросу переходим только после ответа на предыдущий): какая правовая норма мной нарушена? обладает ли эта норма юридической силой? (может быть она издана с нарушением закона, например, не соблюдена форма издания (издана в виде письма, а не приказа), орган, ее издавший не наделен правом ее устанавливать, норма признана утратившей силу, нормативный акт не зарегистрирован в Минюсте России и т.д.) распространяется ли эта норма на меня? (в каждом нормативном акте указывается, на какие категории людей эта норма распространяется) какие имеются доказательства нарушения мной этой нормы? получены ли доказательства законным путем и являются ли доказательства допустимыми и относительными? надлежащее ли должностное лицо (организация) выносит претензии и привлекает к ответственности? соблюдалась ли форма принятого решения о наказании? соблюдается ли порядок выполнения принятого решения о наказании? не истек ли срок давности по привлечению к ответственности за нарушение нормы? соблюдался ли порядок доведения до меня решения о наказании? (сроки доведения, роспись об ознакомлении и т.д.) Возможные правовые приемы защиты пользоваться услугами профессиональных адвокатов. Адвокат имеет больше возможностей защитить своего клиента, чем просто юрист. Юрист предприятия состоит с ним в трудовых отношениях, и поэтому обязан давать показания в качестве свидетеля. Допросить адвоката не может никто. Кроме того, адвокату предоставлен свободный доступ к клиенту, находящемуся под стражей, адвокат вправе присутствовать при всех следственных действиях, знакомиться со всеми материалами дела, самостоятельно собирать оправдательные доказательства. Запросы адвоката о предоставлении информации обязаны выполнять все предприятия. Никогда не соглашайтесь на адвоката, которого вам предлагает следователь; пользоваться неофициальными услугами адвоката, даже если происходит допрос как свидетеля (согласно нормам УПК РФ свидетелю адвокат не положен). продумать показания и не менять их ни в ходе следствия, ни в суде; использовать в свою пользу малейшие нарушения процессуального законодательства со стороны проверяющих; представлять только те доказательства, которые имеют однозначное толкование; проверить зарегистрированы ли в Минюсте России документы, на основе которых проводится проверка. Все ведомственные акты, затрагивающие права и свободы граждан должны быть изданы в виде приказов (а не писем) и зарегистрированы в Минюсте России; использовать правовую норму процессуального законодательства о том, что доказательства, полученные незаконно или являющиеся неотносительными не являются таковыми; использовать статью 51 Конституции РФ, согласно которой никто не обязан свидетельствовать против себя самого; помнить, что некоторые лица обладают «свидетельским иммунитетом». Это значит, что их нельзя допрашивать как свидетелей, если они сами не изъявят желания. В числе таких лиц те, кто владеет информацией о вашей фирме «по должности», например адвокат, аудитор (подп. 2 п. 2 ст. 90 Налогового кодекса РФ); использовать возможную правовую некомпетентность со стороны проверяющих должностных лиц; создать в суде «неустранимые сомнения», которые трактуются в пользу обвиняемого; знать юридическую терминологию, например, чем отличаются: допрос от опроса (допрос происходит после возбуждения уголовного дела, опрос — до возбуждения); обыск от выемки (при выемке точно знают, что ищут, а при обыске — нет); осмотр от досмотра (осмотр является визуальным наблюдением за различными объектами, производственными участками и осуществляется путем их посещения. Досмотр, наряду с визуальным восприятием хозяйственной деятельности, дополнительно сопровождается контрольными действиями со стороны проверяющих лиц, которые осуществляются с согласия собственника (либо его представителя); проверка от ревизии (проверка представляет собой единичное контрольное действие, а ревизия это комплексное контрольное мероприятие) помнить, что дело об административном правонарушении может быть рассмотрено в суде в отсутствие правонарушителя только в случае, если имеются доказательства его уведомления о времени и месте рассмотрения. Если хотите, чтобы суд не состоялся — не идите на него и постарайтесь сделать так, чтобы не было доказательства Вашего уведомления о нем; потребовать в суде проверить, не является ли лицо, участвовавшее в следственном действии в качестве понятого, недееспособным или ограниченно дееспособным, не состоит ли оно на учете в соответствующем лечебном заведении (диспансере) на предмет наркологической или алкогольной зависимости либо психического заболевания, не был ли понятой в день проведения следственного действия болен, не принимал ли успокаивающие (рассеивающие и ослабляющие внимание) лекарственные средства и т.д.; контролировать срок исковой давности при административных правонарушениях (2 месяца). Примерные правила поведения при проверке: ознакомиться с удостоверением личности проверяющего и узнать его координаты (адрес, телефон, номер кабинета). Записать все данные в журнал учета проверок. Если возможно — сделать копии предъявляемых документов. Одновременно с удостоверением личности проверяющий обязан представить распоряжение (предписание, приказ) о проведении проверки. В этом документе проверить: срок действия служебных удостоверений; соответствие должностного лица, которое пришло проверять; соответствие адреса; соответствие времени проверки; соответствие проверяемой организации; наличие и соответствие печатей; соответствие подписи полномочиям этого должностного лица; правовые основания проверки; соответствие компетенции проверяемой организации и должностных лиц. убедиться по телефону, кто и по какому поводу направил проверяющих; записать марки и номера автомашин, на которых прибыли проверяющие; настаивать на том, что будут присутствовать Ваши понятые (сотрудники Вашей компании); знать, что если с проверяющими прибыли лица, которые в документе не названы, они не вправе не только принимать участие в проверке, но и не имеют правовых оснований для присутствия в помещении компании или индивидуального предпринимателя; проверять соответствие компетенции проверяющих (их организации или предписания) тому, что они хотят проверить; потребовать в вежливой форме у руководителя группы из контролирующих органов конкретно изложить суть претензий; понять истинные причины прихода в компанию; требовать разъяснения своих прав при совершении всех процессуальных действий с отметкой об этом в документах (или о том, что такие разъяснения даны не были); приставить своего человека к каждому проверяющему, чтобы он фиксировал все, что делает проверяющий; найти свидетелей, готовых доказать Вашу невиновность или провокационный характер действий проверяющих; создать возможные затруднения в обследовании служебных помещений (по крайней мере, не помогать); если проверяющие требуют документы, потребовать у них письменный запрос и пообещать предоставить документы через пару дней. Закон не обязывает предъявлять документы немедленно; знать, что до возбуждения уголовного или административного дела информацию о деятельности компании проверяющие могут получить только с согласия ее работников; давать проверяющим номера сотовых телефонов, по которым нельзя дозвониться; не допускать неформального общения с представителями контролирующих органов сотрудников компании. Лица, которые будут привлечены в ходе проверки, должны давать ответы только на поставленные вопросы, избегая самооценок и собственных выводов; если проверяющие изымают деньги, компьютеры, другие ценности, в протоколе лучше всего указать, что это личные вещи, например, руководителя или главного бухгалтера, тогда их сложнее будет использовать как доказательства нарушения; в ходе работы контролирующих органов постоянно интересоваться ходом работы комиссии; требовать (в случае изъятия документов или предметов) переписи каждого документа или предмета, это может остановить проверяющих от излишнего изъятия; вписать фразу: «Изъятие данных документов приостанавливает хозяйственную деятельность предприятия» в протокол об изъятии документов. В этом случае проверяющие обязаны вернуть документы через двое суток (обычный срок до 7 суток); при подписании всех документов: не отказываться от подписания документов. Отказ принципиального значения не имеет, однако в случае судебного разбирательства суд оценит это скорее негативно; в случае, если по каким-то причинам не согласны с составленным проверяющим документом, при подписании сделайте пометку «не согласен». Не конкретизируйте свое несогласие. В этом случае будет возможность обсудить свою позицию с юристом. Проверяющему сказать, что дадите объяснения по этому поводу позже; контролировать соответствия статьи административного нарушения и выписанного штрафа; следить за соответствием дат и фамилий; подписывать каждый лист в документах с проставлением даты и времени; контролировать время составления протокола об административном правонарушении (немедленно, в исключительных случаях в срок не более 2-х суток); читать все подписываемые документы; следить за тем, чтобы все графы были заполнены. требовать оставления по одному экземпляру всех составленных документов (протоколов, актов и т.д.). если по результатам работы контролирующих органов будет возбуждено уголовное дело, требовать, чтобы были предъявлены: мотивированное постановление о возбуждении уголовного дела (основание возбуждения); вещественные доказательства или улики (с подробным описанием, как они обнаружены и какое отношение имеют к компании); показания свидетелей или потерпевших. если приглашают по делу в качестве обвиняемого, то причинами неявки (документально подтвержденными) могут быть: болезнь, лишающая возможности обвиняемого явиться по повестке; несвоевременное получение обвиняемым повестки; иные обстоятельства (авария на транспорте, тяжелая болезнь члена семьи и т.д.). Правовая защита при проведении отдельных уголовно-процессуальных действий: При проведении обыска желательно знать: в отличие от других уголовно-процессуальных действий, направленных на собирание доказательств, таких как допрос, осмотр, освидетельствование и т.п. обыск может быть произведен только на стадии предварительного расследования. Обыск запрещено применять на судебных стадиях и на стадии возбуждения уголовного дела; обыск отличается от выемки тем, что во время принятия решения о производстве обыска неизвестно место нахождения предмета, который следует найти и его принадлежность; обыск не может проводиться без наличия возбужденного уголовного дела; при личном обыске или обыске в жилом или рабочем помещении либо автомобиле нельзя вынимать собственноручно никакие предметы из одежды, портфеля, мебели и т.д. Лучше снять с себя одежду и отдать ее проводящему досмотр лицу — этим вы избавитесь от прикосновения к предмету, возможно подсунутому в вашу одежду. Во всех случаях, связанных с подброшенными предметами, письменно в форме ходатайства следует требовать в суде обязательной дактилоскопической экспертизы этих предметов. для того, чтобы приступить к производству обыска, необходимо наличие фактического и юридического основания, сведения, послужившие основанием производства обыска, должны содержаться в доказательствах; выносить постановление о производстве обыска, предъявлять его обыскиваемому, производить это следственное действие вправе не только следователь, но и дознаватель, орган дознания, руководитель следственной группы, начальник следственного отдела и прокурор; основанием для производства обыска является постановление следователя (дознавателя и др.) о производстве обыска с указанием даты вынесения постановления, кому именно оно предъявлено и какие именно предметы (документы и др.) предложено выдать; юридическим основанием личного обыска признается также судебное решение, а в случаях, не терпящих отлагательства — постановление о производстве личного обыска подозреваемого (обвиняемого); до начала обыска обыскиваемому должно быть предъявлено постановление о производстве обыска (судебное решение, разрешающее его производство), а также предложено добровольно выдать подлежащие изъятию предметы, документы и ценности, которые могут иметь значение для уголовного дела; лицо, в помещении которого производится обыск имеет право присутствовать при обыске, наблюдать за его совершении, непосредственно осматривать все изымаемые предметы, а также место их обнаружении, делать подлежащие занесению в протокол заявления и замечания, требовать дополнение протокола и внесения в него уточнений; при обыске должно быть обеспечено присутствие лица, у которого производится обыск, либо совершеннолетних членов его семьи, невозможность его участия в обыске должна быть подтверждена материалами, имеющимися в уголовном деле, иначе протокол обыска может быть признан недопустимым в качестве доказательства источником сведений; обыск в помещениях, занятых предприятиями, учреждениями, организациями, производится в присутствии представителя администрации данного предприятия, учреждения, организации; обыск производится с участием не менее двух понятых, которые должны быть совершеннолетние, не заинтересованные в исходе уголовного дела, не являющееся участником уголовного судопроизводства и не являющиеся работниками органов исполнительной власти, наделенными правом проводить оперативно-розыскную деятельность; в случае необходимости лицам, присутствующим в месте, где производится обыск, запрещается покидать его, а также общаться друг с другом или иными лицами до окончании обыска; при производстве обыска помещения могут вскрываться, то есть делать доступным проникновение в помещение. Однако вскрытие может быть осуществлено, лишь когда владелец (пользователь, распорядитель) объекта отказывается добровольно его открыть; производство обыска в ночное время не допускается, за исключением случаев, не терпящих отлагательства; личный обыск лица производится только лицом одного с ним пола и в присутствии понятых и специалистов того же пола, если они участвуют в данном следственном действии; следователь (дознаватель и т.д.) обязан принять меры к тому, чтобы не были оглашены выявленные в ходе обыска обстоятельства частной жизни лица, в помещении которого был произведен обыск, его личная и семейная тайна, а также обстоятельства частной жизни других лиц; в процессе изъятия первичных документов, учетных регистров, бухгалтерских отчетов и балансов у предприятий с разрешения и в присутствии представителей органов, производящих изъятие, соответствующие должностные лица предприятия могут снять копии с изымаемых документов с указанием оснований и даты их изъятия; изъятию в процессе обыска подлежат лишь предметы (документы и т.д.), могущие иметь значение для уголовного дела либо изъятые из оборота; изъятые предметы, документы и ценности предъявляются понятым и другим лицам, присутствующим при обыске, при необходимости упаковываются и опечатываются, Все изымаемые предметы снабжаются бирками с удостоверительными надписями и подписями лица, у которого произведено изъятие, понятых и следователя (дознавателя и т.д.); изъятые предметы предъявляются не только понятым, но и всем участникам этого следственного действия (обыскиваемый, адвокат, специалист, потерпевший и т.д.); завершается обыск составлением протокола обыска и прилагаемой к нему описи изъятого, фототаблиц и т.п., обязательно указывается добровольно или принудительно было осуществлено изъятие указанных предметов (документов); в протоколе перечисляются все изымаемые предметы, при изъятии большого числа предметов в обязательном порядке составляется специальная опись, прилагаемая к протоколу и являющаяся его неотъемлемой частью; протокол и опись составляются в двух экземплярах, подписываются лицом, производившим обыск, понятыми и присутствовавшими при этом лицами, в том числе лицом, у которого производился обыск. Копии протокола и описи выдаются на руки лицу, у которого производился обыск или представителю администрации организации, которой принадлежит обыскиваемое помещение. При проведении выемки желательно знать: выемка — это следственное действие, заключающееся в изъятии (добровольном или принудительном) из помещений и у конкретных лиц строго определенных решением компетентного органа выемка может быть произведена только после принятия решения о возбуждении уголовного дела; сведения, послужившие основанием для производства выемки, должны содержаться в доказательствах; при производстве выемки обязательно присутствие понятых; при производстве выемки необходимо также присутствие лица, у которого производится выемка, либо совершеннолетних членов его семьи. Выемка в помещениях, занятых предприятиями, учреждениями, организациями, производится в присутствии представителя администрации данного предприятия, учреждения, организации; выемке подлежат лишь предметы (документы), имеющие значение для уголовного дел либо изъятые из оборота;

Техническая безопасность

Технические каналы утечки информации В физической природе возможны следующие пути переноса информации: световые лучи; звуковые волны; электромагнитные волны. Существуют различные технические средства промышленного шпионажа, которые можно разделить на следующие группы: средства акустического контроля; аппаратура для съема информации с окон; специальная звукозаписывающая аппаратура; микрофоны различного назначения и исполнения; электросетевые подслушивающие устройства; приборы для съема информации с телефонной линии связи и сотовых телефонов; специальные системы наблюдения и передачи видеоизображений; специальные фотоаппараты; приборы наблюдения в дневное время и приборы ночного видения; специальные средства радиоперехвата и приема ПЭМИН и др. Оптический канал утечки информации реализуется в следующем: визуальным наблюдением; фото и видеосъемкой; использованием видимого и инфракрасного диапазонов для передачи информации от скрыто установленных фото и видеокамер. Акустический канал утечки информации (передача информации через звуковые волны) реализуется в следующем: подслушивание разговоров на открытой местности и в помещениях, находясь рядом или используя направленные микрофоны (бывают параболические, трубчатые или плоские). Направленность 2-5 градусов, средняя дальность действия наиболее распространенных — трубчатых составляет около 100 метров. При хороших климатических условиях на открытой местности параболический направленный микрофон может работать на расстояние до 1 км.; негласная запись разговоров на диктофон или магнитофон (в том числе цифровые диктофоны, активизирующиеся голосом); подслушивание разговоров с использованием выносных микрофонов. Дальность действия радиомикрофонов 50-200 метров без ретрансляторов. Микрофоны, используемые в радиозакладках, могут быть встроенными или выносными и имеют два типа: акустические (чувствительные в основном к действию звуковых колебаний воздуха и предназначенные для перехвата речевых сообщений) и вибрационные (преобразующие в электрические сигналы колебания, возникающие в разнообразных жестких конструкциях). В последнее время широкое применение получили микрофоны, осуществляющие передачу информации по каналу сотовой связи в стандарте GSM. Наиболее интересные и перспективные разработки связаны с оптоволоконными аудиомикрофонами. Их принцип действия основан на изменении обратно рассеянного света от акустической мембраны. Свет от светодиода поступает через оптическое волокно к микрофонной головке, а затем на отражающую мембрану. Звуковые волны, сталкиваясь с мембраной, заставляют ее вибрировать, вызывая изменения светового потока. Фотодетектор воспринимает отраженный свет и после электронной обработки преобразует получившуюся световую модель в отчетливый слышимый звук. Поскольку через микрофон и подключенные к нему оптические волокна не проходит электрический ток, то отсутствуют какие-либо электромагнитные поля, что делает данный микрофон невидимым для электронных средств обнаружения каналов утечки информации. Самым оригинальным, простейшим и малозаметным до сих пор считается полуактивный радиомикрофон, работающий на частоте 330 МГц, разработанный еще в середине 40-х годов. Он интересен тем, что в нем нет ни источника питания, ни передатчика, ни собственно микрофона. Основой его является цилиндрический объемный резонатор, на дно которого налит небольшой слой масла. При ведении разговоров вблизи резонатора на поверхности масла появляются микроколебания, вызывающие изменение добротности и резонансной частоты резонатора. Этих изменений достаточно, чтобы влиять на поле переизлучения, создаваемого внутренним вибратором, которое становится модулированным по амплитуде и фазе акустическими колебаниями. Работать такой радиомикрофон может только тогда, когда он облучается мощным источником на частоте резонатора, т. е. 330 МГц. Главным достоинством такого радиомикрофона является невозможность обнаружения его при отсутствии внешнего облучения известными средствами поиска радиозакладок. Впервые информация об использовании подобной полуактивной системы была обнародована американским представителем в ООН в 1952 году. Этот резонатор был обнаружен в гербе посольства США в Москве; зондирование оконных стекол направленным (лазерным) излучением с расстояния до 300 метров; прослушивание разговоров с помощью конструктивно доработанных сотовых телефонов; подслушивание разговоров через элементы строительных конструкций (стетоскопы). Возможно даже перехватывать переговоры в смежном помещении и без спецаппаратуры, прибегая к помощи питейного бокала (или рюмки), ободок которого плотно прижимается к стене, а донышко (торец ножки) — вплотную к уху. Возникаемый при этом звук сильно зависит как от состояния и структуры стены, так и от конфигурации прибора из которого он изготовлен. Стетоскопы уверенно прослушивают однородные твердые стены до 70 см. Особенность — чем тверже и однороднее стена, тем лучше она прослушивается; считывание с губ. Акустоэлектрический канал утечки информации (получение информации через звуковые волны с дальнейшей передачей ее через сети электропитания) Особенности электроакустического канала утечки информации: удобство применения (электросеть есть везде); отсутствие проблем с питанием у микрофона; трансформаторная развязка является препятствием для дальнейшей передачи информации по сети электропитания; возможность съема информации с питающей сети не подключаясь к ней (используя электромагнитное излучение сети электропитания). Прием информации от таких «жучков» осуществляется специальными приемниками, подключаемыми к силовой сети в радиусе до 300 метров от «жучка» по длине проводки или до силового трансформатора, обслуживающего здание или комплекс зданий; возможные помехи на бытовых приборах при использовании электросети для передачи информации, а также плохое качество передаваемого сигнала при большом количестве работы бытовых приборов. Телефонный канал утечки информации Использование телефонного канала утечки информации возможно по следующим направлениям: прослушивание телефонных переговоров; использование телефонного аппарата для акустического контроля помещения. Подслушивание телефонных переговоров (в рамках промышленного шпионажа) возможно: гальванический съем телефонных переговоров (путем контактного подключения подслушивающих устройств в любом месте абонентской телефонной сети). Определяется путем ухудшения слышимости и появления помех, а также с помощью специальной аппаратуры; телефонно-локационный способом (путем высокочастотного навязывания). По телефонной линии подается высокочастотный тональный сигнал, который воздействует на нелинейные элементы телефонного аппарата (диоды, транзисторы, микросхемы) на которые также воздействует акустический сигнал. В результате в телефонной линии формируется высокочастотный модулированный сигнал. Обнаружить подслушивание возможно по наличии высокочастотного сигнала в телефонной линии. Однако дальность действия такой системы из-за затухания ВЧ сигнала в двухпроводной. линии не превышает ста метров. Возможное противодействие: подавление в телефонной линии высокочастотного сигнала; индуктивный и емкостной способ негласного съема телефонных переговоров (бесконтактное подключение). Индуктивный способ — за счет электромагнитной индукции, возникающей в процессе телефонных переговоров вдоль провода телефонной линии. В качестве приемного устройства съема информации используется трансформатор, первичная обмотка которого охватывает один или два провода телефонной линии. Емкостной способ — за счет формирования на обкладках конденсатора электростатического поля, изменяющегося в соответствии с изменением уровня телефонных переговоров. В качестве приемника съема телефонных переговоров используется емкостной датчик, выполненный в виде двух пластин, плотно прилегающих к проводам телефонной линии. Возможная защита от емкостного и индуктивного способа прослушивания — формирование вокруг проводов телефонной линии низкочастотного электромагнитного шумового поля с уровнем, превышающим уровень электромагнитного поля, образующегося от телефонных переговоров. микрофонный съем акустических сигналов. Некоторые узлы радиоаппаратуры (катушки индуктивности, диоды, транзисторы, микросхемы, трансформаторы и т.д.) обладают акустоэлектрическим эффектом, заключающимся в преобразовании звуковых колебаний, воздействующих на них в электрические сигналы. В телефонном аппарате этим свойством обладает электромагнит звонковой цепи. Защита осуществляется с помощью подавления низкочастотных сигналов в телефонной трубке; подкуп сотрудников АТС. Это весьма распространенный способ раскрытия коммерческих секретов. Особенно это касается небольших городов, где до сих пор используются старые декадно-шаговые АТС. Скорее всего, таким способом могут воспользоваться преступные группы либо конкурирующие компании. Подслушивание разговоров в помещении с использованием телефонных аппаратов возможно следующими способами: низкочастотный и высокочастотный способ съема акустических сигналов и телефонных переговоров. Данный способ основан на подключении к телефонной линии подслушивающих устройств, которые преобразованные микрофоном звуковые сигналы передают по телефонной линии на высокой или низкой частоте. Позволяют прослушивать разговор как при поднятой, так и при опущенной телефонной трубке. Защита осуществляется путем отсекания в телефонной линии высокочастотной и низкочастотной составляющей; использование телефонных дистанционных подслушивающих устройств. Данный способ основывается на установке дистанционного подслушивающего устройства в элементы абонентской телефонной сети путем параллельного подключения его к телефонной линии и дистанционным включением. Дистанционное телефонное подслушивающее устройство имеет два деконспирирующих свойства: в момент подслушивания телефонный аппарат абонента отключен от телефонной линии, а также при положенной телефонной трубке и включенном подслушивающем устройстве напряжение питания телефонной линии составляет менее 20 Вольт, в то время как она должна составлять 60. Признаки использования телефонных подслушивающих устройств изменение (как правило уменьшение) напряжения питания телефонной линии при положенной телефонной трубке на рычаги аппарата; наличие электрических сигналов в телефонной линии при положенной телефонной трубке на рычаги аппарата; наличие электрических сигналов в телефонной линии в диапазоне частот свыше 4 килогерц при любом положении телефонной трубки; изменение технических параметров телефонной линии; наличие импульсных сигналов в телефонной линии. Телефонные абонентские линии обычно состоят из трех участков: магистрального (от АТС до распределительного шкафа (РШ)), распределительного (от РШ до распределительной коробки (КРТ)), абонентской проводки (от КРТ до телефонного аппарата). Последние два участка — распределительный и абонентский являются наиболее уязвимыми с точки зрения перехвата информации. Радиотелефонный канал утечки информации При использовании сотового телефона следует знать: в настоящее время системы защиты информации, которыми оснащены радиотелефоны (сотовые телефоны) ненадежны и не гарантированы от подслушивания, в связи с чем не рекомендуется вести конфиденциальные переговоры по сотовой связи. Разговоры в аналоговых системах сотовой связи практически не защищаются и перехватываются обычным сканирующим приемником эфира, переговоры в цифровых системах как правило кодируются криптографическим методом, но существует аппаратура раскодирования (правда достаточно дорогая). Одним из самых главных недостатков стандарта GSM, а также других стандартов второго поколения заключается в использовании старых (дата разработки — 70–80-е годы ХХ столетия), а соответственно, уже ненадежных по нынешним временам (40-разрядные ключи шифрования, применяемые в настоящий момент в стандарте GSM). Следует помнить, что прослушивание сотовых телефонных переговоров может происходить в рамках оперативно-розыскной деятельности с использованием аппаратуры СОРМ, установленной у каждого оператора сотовой связи; абонент может во время сеанса связи поменять соту в которой находится, следовательно, и рабочую частоту. Да и сама база может переключить своих абонентов на другие частоты по техническим причинам. Поэтому отследить разговор быстро передвигающегося абонента полностью от начала до конца зачастую затруднительно; у сотовых телефонов имеются «недекларированные возможности», например, сотовый телефон может быть удаленно и негласно активирован без какой либо индикации и без ведома владельца; необходимо учитывать, что при включенном сотовом телефоне Вас всегда можно запеленговать и вычислить Ваше местоположение; в настоящее время наиболее защищенным является цифровой стандарт СDMA — Многоканальный Доступ с Кодовым Разделением Каналов. В отличие от других технологий радиосвязи, в которых имеющийся частотный спектр разбивается на узкополосные каналы и временные интервалы, в системе CDMA сигналы распределяются в широкой полосе частот, что обеспечивает большую защищенность от перехвата и помехозащищенность; не исключена возможность «клонирования GSM». При заключении договора на предоставление услуг связи каждому абоненту выдается стандартный модуль подлинности абонента (SIM-карта). SIM-карта представляет собой пластиковую смарт-карту с чипом, на котором записана информация, идентифицирующая уникального абонента в сотовой сети: международный идентификационный номер подвижного абонента (IMSI), ключ аутентификации (Ki) и алгоритм аутентификации (A3). С помощью этой информации, в результате взаимного обмена данными между абонентом и сетью осуществляется полный цикл аутентификации и разрешается доступ абонента в сеть. Теоретически возможно осуществить клонирование SIM-карты GSM-аппарата следующим образом. Достаточно специальным устройством (ридером) считать информацию, записанную в SIM -карте, при этом вычисление зашифрованного ключа Ki можно осуществить путем многочасового подбора при многократных последовательных запросах к смарт-карте. Затем полученную информацию необходимо с помощью программатора перенести на «чистую» смарт-карту (SIM-клон) Но на практике такую схему возможно реализовать только для устаревших SIM-карт, в которых используется алгоритм шифрования СОМР128 v.1. В современных же SIM-картах применяется иная последующая версия данного алгоритма, которая не поддается клонированию. Каналами утечки информации за счет побочных электромагнитных излучений и наводок могут быть: электромагнитные поля рассеивания технических средств; наличие связей между информационными цепями и различными токопроводящими средами (система заземления, сеть электропитания, цепи связи, вспомогательные технические средства, различные металлические трубопроводы, воздуховоды, металлоконструкции зданий и другие протяженные токопроводящие объекты). Технические средства съема информации могут быть внедрены «противником» следующими способами: установка средств съема информации в ограждающие конструкции помещений во время строительных, ремонтных и реконструкционных работ; установка средств съема информации в предметы мебели, другие предметы интерьера и обихода, различные технические средства как общего назначения, так и предназначенные для обработки информации; установка средств съема информации в предметы обихода, которые вручаются в качестве подарков, а впоследствии могут использоваться для оформления интерьера служебных помещений; установка средств съема информации в ходе профилактики инженерных сетей и систем. При этом в качестве исполнителя могут быть использованы даже сотрудники ремонтных служб. Меры и средства защиты информации от технических средств ее съема Защитные мероприятия ориентированы на следующие направления: защита от наблюдения и фотографирования; защита от подслушивания; защита от перехвата электромагнитных излучений. Общие правила защиты от технических средств получения информации: удаление технических средств компании (источников излучения) от границы контролируемой территории; по возможности размещение технических средств компании (источников излучения) в подвальных и полуподвальных помещениях; размещение трансформаторных развязок в пределах контролируемой зоны; уменьшение параллельных пробегов информационных цепей с цепями электропитания и заземления, установка фильтров в цепях электропитания; отключение на период конфиденциальных мероприятий технических средств, имеющих элементы электроакустических преобразователей, от линий связи; установка электрических экранов помещений, в которых размещаются технические средства и локальных электромагнитных экранов технических средств (в том числе телефонных аппаратов); использовать системы активной защиты (системы пространственного и линейного зашумления); увеличение времени решения открытых задач для компьютерных средств; использование в качестве линий связи волоконно-оптических систем. Защита от наблюдения и фотографирования предполагает: выбор оптимального расположения средств документирования, размножения и отображения информации (рабочие места, экраны компьютеров, экраны общего пользования) с целью исключения прямого или дистанционного наблюдения; выбор помещений, обращенных окнами в контролируемые зоны (направления); использование светонепроницаемых стекол, занавесок, других защитных материалов или устройств; использование средств гашения экрана после определенного времени работы. Защита от подслушивания реализуется: профилактическим поиском закладок (жучков) визуально или с помощью рентгеновской аппаратуры, их обнаружением за счет выявления рабочего сигнала, излучаемого радиозакладкой, или излученного закладкой отклика на специально генерируемый зондирующий сигнал; применением звукопоглощающих облицовок, специальных дополнительных тамбуров дверных проемов, двойных оконных переплетов; использованием средств акустического зашумления объемов и поверхностей (стены, окна, отопление, вентиляционные каналы); закрытием вентиляционных каналов, мест ввода в помещение отопления, электропитания, телефонных и радиокоммуникаций; использованием специальных аттестованных помещений, исключающих появление каналов утечки конфиденциальной информации через технические устройства; прокладыванием экранированных кабелей в защищенных каналах коммуникаций; постановкой активных радиопомех; установкой в телефонную линию специальных технических средств защиты телефонных переговоров; использованием скремблеров; экранированием телефонных аппаратов; запретом на передачу конфиденциальной информации через аппараты связи, не снабженных скремблерами (особенно радиотелефоны); контролем за всеми линиями телефонной коммуникации. Пути нейтрализации акустического канала утечки информации оценка ситуации с помощью электронного стетоскопа для получения соответствующих рекомендаций; контроль радиоэфира; использование акустических генераторов шума (однако этот способ эффективен только на окнах и вентиляционных шахтах); использование приборов фиксации работы диктофонов; установка рифленых стекол, расположенных в раме под некоторым углом и т.д. Для защиты от узконаправленных микрофонов можно рекомендовать следующие меры: все переговоры проводить в комнатах, изолированных от соседних помещений, при закрытых дверях, окнах и форточках, задернутых плотных шторах; не вести важные разговоры на улице, в скверах и других открытых пространствах; при необходимости ведения переговоров на открытом пространстве быстро перемещаться; сильный побочный шум (от проходящего поезда или от проезжей части) затрудняет прослушивание с помощью узконаправленных микрофонов. Однако попытки заглушать разговор звуками воды, льющейся из крана малоэффективны; если обязательно требуется что-то сообщить или услышать, а гарантий от подслушивания нет, говорить рекомендуется друг другу шепотом прямо в ухо или писать сообщения на листках, немедленно после прочтения сжигаемых. Защита от диктофонов строится по направлениям: предотвращение проноса выключенного диктофона в помещение; обнаружение работающего диктофона; подавление работы диктофона. Предотвращение проноса диктофона в помещение. Аппаратура, обнаруживающая выключенный диктофон, бывает следующих видов: металлодетекторы, нелинейные радиолокаторы, устройства рентгеноскопии металлодетекторы могут применяться на входах в помещение или при наружном досмотре лиц и носимых ими предметов (кейсов, сумок и т. п.). Эти приборы бывают двух видов: стационарные (арочные) и переносные. Вследствие ограниченной чувствительности металлодетекторов надежность обнаружения таких мелких объектов, как современные микрокассетные, цифровые диктофоны, в большинстве случаев оказывается недостаточной, особенно когда нежелательно или просто невозможно проведение открытого досмотра. Таким образом, металлодетекторы можно рассматривать только как вспомогательное средство в комплексе с другими более эффективными мероприятиями по обнаружению и подавлению средств звукозаписи; нелинейные радиолокаторы способны обнаруживать диктофоны на значительно больших расстояниях, чем металлодетекторы, и в принципе могут использоваться для контроля за проносом устройств звукозаписи на входах в помещения. Однако при этом возникают такие проблемы, как уровень безопасного излучения, идентификация отклика, наличие «мертвых» зон, совместимость с окружающими системами и электронной техникой; устройства рентгеноскопии позволяют надежно выявить наличие диктофонов, но только в проносимых предметах. Очевидно, что область применения этих средств контроля крайне ограничена, так как они практически не могут использоваться для целей личного досмотра и скрытого контроля. Обнаружение диктофона. Существуют приборы обнаружения работы диктофонов по анализу электромагнитного поля. В кассетных и некоторых видах цифровых кинематических диктофонов присутствует электродвигатель, который и создает электромагнитные помехи. Для кассетных диктофонов демаскирующим признаком может являться частота подмагничивания головки записи. В цифровых приборах, как правило, добавляются помехи, связанные с работой цифроаналоговых преобразователей и различных цифровых микросхем. Именно эти электромагнитные сигналы и пытаются принять, а затем и проанализировать приборы. Для надежной идентификации диктофона приборы по их обнаружению производят анализ определенного спектра частот и затем вычисляют с некоторой степенью вероятности: относятся ли обнаруженные сигналы к электромагнитным помехам диктофона или нет. Реальное расстояние, на котором можно обнаружить диктофон, составляет 30-50 см для пластмассовых диктофонов и 2-10 см для диктофонов в металлическом корпусе. Устройства с микропроцессорной обработкой (например, приборы серии PTRD) позволяют обнаруживать диктофоны на больших расстояниях, но в любом случае это расстояние, как правило, не превышает одного метра в обычных условиях, а при наличии в непосредственной близости работающей компьютерной техники даже микропроцессорные обнаружители выдают ложные сигналы. Подавление работы диктофона. Приборы подавления работы диктофонов используют как акустические, так и электромагнитные помехи. Преимущества акустических генераторов в том, что они подавляют любую подслушивающую аппаратуру, в составе которой есть микрофон. Недостаток — акустические помехи слышны, они мешают разговору и демаскируют работу аппаратуры защиты. Альтернативой акустическим помехам являются электромагнитные, которые вырабатываются специальными генераторами. Различаются эти приборы по конструктивному и схемотехническому исполнению. Принцип их действия одинаков: наведение электромагнитной помехи непосредственно на микрофонные усилители и входные цепи диктофона. Недостатки подавителей диктофонов: неблагоприятное воздействие на организм человека. Многие приборы этого класса имеют медицинские сертификаты. Как правило, в них указано, на каком расстоянии и сколько по времени может безопасно находиться человек в зоне основного лепестка. Например, для одного из изделий при расстояниях 1,5 м это время составляет до 40 минут в день, на расстоянии 2,0 м до 1 часа, а в зоне заднего и боковых лепестков время нахождения не ограничено; источник шумового электромагнитного излучения наводит помехи в обычной радиоэлектронной аппаратуре. Наибольшему воздействию подвержены радиоприемники, активные акустические колонки, обычные телефонные аппараты, офисные радиотелефоны с аналоговыми радиоканалами, аудио- и видеодомофоны, бытовые телевизоры, мониторы компьютеров. При неудачном расположении подавителей могут быть ложные срабатывания охранной и пожарной сигнализации. Защита от акустоэлектрического канала утечки информации осуществляется следующим образом: использование приборов, позволяющих обнаруживать в электрической сети сигналы выше 30 килогерц; использование приборов маскировки электросети шумовым широкополосным электрическим сигналом. Некоторые рекомендации по защите от использования сотовых телефонов как каналов утечки информации сотовый телефон, который вы приобретаете, должен быть приобретен анонимно или оформлен на другое лицо; запретить ведение конфиденциальных переговоров в открытом виде. Предупредить об этом всех своих респондентов; отключать сотовые телефоны (причем отключать аккамуляторную батарею) у себя и у клиентов при ведении конфиденциальных переговоров, так как сотовый телефон может быть использован как подслушивающее устройство; применять технические средства защиты. На рынке представлены изделия, которые используют или заградительную помеху, поставленную во всем диапазоне работы телефона, или, обнаружив сигнал работающего сотового телефона, вычисляют параметры сигнала и устанавливают прицельную узкополосную помеху на отдельные компоненты сигнала. В случае применения последней логики для подавления сотовой связи помеху можно ставить либо в прямом канале, подавляя приемник сотового телефона, либо в обратном канале, забивая сигнал передатчика сотового телефона в приемнике базовой станции. Кроме того, поскольку сотовый телефон в сети во время сеанса связи находится под постоянным контролем и управлением базовой станции, можно блокировать прием сигналов управления с базовой станции на сотовый телефон; для защиты от недекларированных возможностей сотовых телефонов разработаны так называемые «акустические сейфы» типа «Кокон» и «Ладья». Кокон представляет собой обычный чехол для сотового телефона, внешне ничем от него не отличающийся, который крепится на брючном ремне. В чехле установлено устройство, которое фиксирует момент включения передатчика телефона и включает генератор акустического шума (помехи), расположенный около микрофона сотового телефона. Изделие «Ладья» отличается от изделия «Кокон» тем, что имеет настольное исполнение в виде подставки для канцелярских принадлежностей; запретить передавать по каналу сотовой связи реальные телефоны, ФИО, адреса и т.д. Рекомендуется передавать сообщение типа: «позвони Алексею на работу (или домой); изобрести некий эзопов язык (язык условных фраз и сигналов, не соответствующих своему прямому содержанию), и общаться на нем. Например, выражение, типа: «Позвони Алексею на работу» — может быть сигналом к началу каких-либо действий; при передаче по каналам сотовой связи номеров телефонов можно пользоваться известным приемом и передавать либо три первые цифры телефона, либо четыре последние, а остальные ваш респондент поймет сам. Защита от перехвата побочных электромагнитных излучений и наводок (ПЭМИН) самого различного характера предполагает: размещение источников ПЭМИН на максимально возможном удалении от границы охраняемой зоны. Особенно это касается мониторов с электронно-лучевой трубкой. Современная аппаратура промышленного шпионажа позволяет получить на удалении 50 м устойчивую картинку — копию изображения, отображаемого в настоящий момент на экране монитора персонального компьютера; экранирование зданий, помещений, средств обработки информации и кабельных коммуникаций; использование средств пространственного и линейного электромагнитного зашумления; исключением параллельного прокладывания коммуникационных линий; использование локальных технических систем, не имеющих выхода за пределы охраняемой территории; развязку по цепям питания и заземления, размещенных в пределах охраняемой зоны; использование подавляющих фильтров в информационных цепях, цепях питания и заземления. Защита от использования заземления в качестве канала утечки информации предполагает: применение на линиях заземления специальных генераторов шума; отсутствие петель на линиях заземления и шинах заземления, а также сопротивление заземляющего контура не превышающее 1 Ом; выполнение заземления стальными трубами, вбитыми вертикально в землю до глубины 2-3 метров; уменьшение сопротивления линий заземления с помощью утрамбованной поваренной соли, насыпанной вокруг труб; соединение заземлителей (труб) только с помощью сварки; запрет на использование в качестве заземлений каких-либо естественных заземлителей. Приборы обнаружения технических средств промышленного шпионажа Все приборы, предназначенные для поиска технических средств промышленного шпионажа по принципу их действия можно разделить на два больших класса: устройства поиска активного типа, то есть такие, которые сами воздействуют на объект и исследуют сигнал отклика. К приборам этого типа обычно относят: нелинейные локаторы; рентгенометры; магнитно-резонансные локаторы; акустические корректоры. устройства поиска пассивного типа. К ним относятся: металлоискатели; тепловизоры; устройства поиска по электромагнитному излучению; устройства поиска аномальных параметров телефонной линии; устройства поиска аномалий магнитного поля. Нелинейные локаторы Среди устройств первого типа наибольшее распространение на отечественном рынке получили нелинейные локаторы, действие которых основано на том факте, что при облучении устройств, содержащих любые полупроводниковые элементы, происходит отражение сигнала на высших кратных гармониках. Причем регистрируется этот сигнал локатором независимо от того, работает или не работает закладка в момент облучения. Нелинейные локаторы обычно включают в себя: генератор; направленный излучатель зондирующего сигнала; высокочувствительный и также направленный приемник, чтобы определить источник ответного сигнала; системы индикации и настройки всего устройства. Есть и разновидности нелинейных локаторов, основанных на нелинейности отклика среды, применяемые для локации телефонных линий. Но хотя такие приборы на российском рынке представлены достаточно широко, особого распространения они не получили в силу затрудненности анализа и неоднозначности результатов. Во всяком случае, с ними успешно соперничают так называемые «кабельные радары», также посылающие в линию зондирующие импульсы, но отклик исследуется не на присутствие в нем высших гармоник, а на изменение полярности, длительности и амплитуды, происходящее при отражениях от какой-либо неоднородности линии: контактной, диэлектрической или механической. Выводимый на экран сигнал позволяет достаточно точно судить о том, на каком расстоянии от прибора находится изменение сечения проводов или неоднородность в диэлектрических характеристиках кабеля — а это параметры, говорящие о возможном подключении именно в этих местах прослушивающих устройств. Рентгенометры Рентгенометры используют облучение обследуемых поверхностей рентгеновскими лучами. Данные приборы очень надежные, но на российском рынке широкого признания не получили как в силу громоздкости, так и из-за дороговизны. Эти устройства предлагаются на рынке, но используют их в основном государственные структуры. Магнито-резонансные локаторы Магнито-резонансные локаторы фиксируют резонансную ориентацию молекул в ответ на зондирующий импульс. Данные устройства очень дороги и сложны. Металлоискатели Металлоискатели основаны на принципе обнаружения металлических предметов, определяемых на основе отклика металлических предметов в магнитном поле. Они недороги и удобны в работе, но большого распространения не получили в силу достаточно ограниченного спектра своих возможностей. Тепловизоры Тепловизоры предназначены для фиксирования очень малого перепада температур (в сотые доли градуса). Являются очень перспективными устройствами. Так как любая работающая электронная схема, пусть незначительно, но излучает тепло в пространство, именно тепловой контроль является достаточно недорогим, но очень эффективным и универсальным средством их обнаружения. К сожалению, в настоящее время на рынке представлено небольшое количество данных приборов. Устройства, фиксирующие электромагнитное излучение технических средств разведки Принцип действия основан на выделении сигнала работающего радиопередатчика. Причем задача усложненная тем, что заранее никогда не известно, в каком диапазоне частот активен разыскиваемый передатчик. Радиозакладка может излучать в очень узком частотном спектре, как в диапазоне, скажем, нескольких десятков герц, маскируясь под электромагнитное поле обычной электрической сети, так и в свехвысокочастотном диапазоне, оставаясь совершенно неслышной в любых других. Представлены на рынке очень широко и так же широко применяются на практике. К устройствам, фиксирующим электромагнитное излучение технических средств промышленного шпионажа, относят: различные приемники; сканеры; частотомеры; шумомеры; анализаторы спектра; детекторы излучения в инфракрасном диапазоне; селективные микровольтметры и т. д. Сканеры Сканеры — специальные очень чувствительные приемники, способные контролировать широкий частотный диапазон от нескольких десятков герц до полутора-двух гигагерц. Сканеры могут пошагово, к примеру, через каждые пятьдесят герц, прослушивать весь частотный диапазон, автоматически фиксируя в электронной памяти те шаги, при прохождении которых в эфире было замечено активное радиоизлучение. Могут они работать и в режиме автопоиска. Частотомеры Частотомеры — это приемники, которые не просто прослушивают эфир, выделяя излучение в некоем частотном диапазоне, но и точно фиксируют саму частоту. Российские производители, как правило, не совмещают возможности сканера и частотомера, поэтому наиболее эффективной является японская техника, реализующая иную схему, предполагающую совместную работу сканера, частотомера и компьютера. Сканер просматривает частотный диапазон и, обнаружив сигнал, останавливается. Частотомер точно фиксирует несущую частоту этого сигнала, и это фиксируется компьютером, который тут же может приступить к анализу; впрочем, по имеющимся на сканере амплитудным индикаторам зачастую сразу можно определить, что же это за сигнал. Далее приемник возобновляет сканирование эфира до получения следующего сигнала. Анализаторы спектра Анализаторы спектра отличаются от сканеров заметно меньшей чувствительностью (и, как следствие, меньшей ценой), но зато с их помощью значительно облегчается просмотр радиодиапазонов. Эти приборы дополнительно оснащаются встроенным осциллографом, что позволяет кроме получения числовых характеристик принятого сигнала, высвечиваемых на дисплее, сразу же увидеть и оценить его спектр. К совершенно отдельному классу относятся выполненные на основе высокочувствительных сканеров комплексы, реализующие сразу несколько поисковых функций. Они в состоянии проводить круглосуточный автоматический мониторинг эфира, анализировать основные характеристики и направления пойманных сигналов, умея засечь не только излучение аппаратуры промышленного шпионажа, но и работу ретрансляционных передатчиков. Устройства, контролирующие изменение магнитного поля Устройства, позволяющие контролировать изменения магнитного поля, применяются для поиска звукозаписывающей аппаратуры. Отслеживают они, как правило, то изменение магнитного поля, которое образуется при стирании информации с пленки (в случае, когда запись идет на пленку, а не на микросхему), двигателя магнитофона или иного электромагнитного излучения. В частности, существуют действующие по этому принципу детекторы отечественного производства, которые позволяют даже на фоне внешних помех, в десятки тысяч раз превосходящих уровень сигнала, исходящего от работающего магнитофона, засечь его примерно на полуметровом расстоянии. Устройства обнаружения несанкционированного подключения к телефонной линии По принципу действия приборы обнаружения прослушивающих устройств можно условно разделить на следующие группы: устройства контроля напряжения телефонной линии; устройства контроля окружающей радиообстановки; устройства контроля сигналов на телефонной линии; устройства анализа неоднородности телефонной линии; устройства анализа несимметрии телефонной линии; устройства анализа нелинейности параметров телефонной линии. Устройства контроля напряжения линии образуют наиболее многочисленную группу приборов обнаружения, представленных на рынке спецтехники. Они регистрируют изменение напряжения в линии с помощью компараторов или вольтметров. Если напряжение изменяется на определенную величину, то делается вывод о гальваническом подключении к линии. Основным недостатком всех приборов данной группы является необходимость их установки на «чистую» линию, так как ими выявляются только новые гальванические подключения. Устройства контроля окружающей радиообстановки позволяют проводить поиск активных радиомикрофонов в помещении, обследовать телефонную линию, электросеть и другие линии связи для выявления работающих закладок с радиоканалом, побочных излучений, радиооблучения и многого другого. К данному типу устройств относятся сканирующие приемники, индикаторы поля, специальные частотомеры и анализаторы спектра, спектральные корреляторы, комплексы радиоконтроля. Основным достоинством этой группы приборов является достоверность полученной информации о наличии прослушивающих устройств с радиоканалом и возможность их отыскания. К недостаткам относятся малая дальность обнаружения радиопередающих устройств, обязательная активизация прослушивающих устройств при их поиске, значительное время контроля эфира, что затрудняет оперативный контроль самой телефонной линии. Принцип действия устройств контроля сигналов на телефонной линии основан на частотном анализе сигналов, имеющихся на проводной линии (электросеть, телефонная линия, кабельные линии сигнализации). Как правило, приборы этой группы работают в диапазоне частот 40 Гц - 10 МГц, имеют высокую чувствительность (на уровне 20 мкВ), различают модуляцию принимаемого сигнала, обладают возможностью акустического контроля принимаемой информации. С их помощью можно легко установить, к примеру, факт передачи информации по линии связи или ВЧ-навязывание. Устройства анализа неоднородности телефонной линии определяют подключенные к линии сосредоточенные резистивные или реактивные проводимости путем измерения параметров сигнала (чаще всего мощности), отраженного от неоднородности линии. Однако небольшая дальность обнаружения (реально — до 500 м) и низкая достоверность полученных результатов измерений (чаще всего за неоднородность принимаются контактные соединения в линии) делают приборы этой группы эффективными только для регистрации новых подключений к линии при небольших измеряемых расстояниях. Устройства анализа несимметрии линии определяют разность сопротивлений проводов линии по переменному току и определяют утечку по постоянному току между проводами линии. Измерения проводятся относительно нулевого провода электросети. В отличие от многих иных устройств, данные приборы не требуют «чистой» линии при работе. Их чувствительность довольно высока для обнаружения практически любых закладок, контактно подключенных к линии: последовательно включенных с внутренним сопротивлением более 100 Ом и параллельных с током потребления более 0,5 мА. Не лишены приборы и некоторых недостатков. При изначальной несимметрии линии (например, за счет продолжительной и разветвленной проводки внутри здания, наличия скруток, отводов, контактных соединений и т. п.) приборы данной группы ошибочно указывают на наличие последовательно подключенного прослушивающего устройства. Изменение параметров линии из-за смены климатических условий, изъяны в телефонной линии, утечки за счет устаревшего оборудования АТС приводят к ошибочному определению параллельно подключенного прослушивающего устройства. И наконец, использование в качестве «третьего» провода нулевой шины электросети при неисправности в приборе может привести к выходу из строя оборудования АТС и телефонной линии. В последние несколько лет на отечественном рынке спецтехники появились устройства анализа нелинейности параметров линии, принцип действия которых основан на анализе нелинейности импеданса телефонной линии. Эта группа, в свою очередь, подразделяется на две категории: приборы, определяющие нелинейность двухпроводной обесточенной линии, и приборы, работающие на реальной телефонной линии. Первые обладают высокой чувствительностью и позволяют определять практически любые нелинейные устройства съема информации, подключенные к линии. Принцип обнаружения основан на измерении гармоник тестового сигнала 220 В ~ 50 Гц, подаваемого в отрезок исследуемой линии. При увеличении длины отрезка до нескольких десятков метров чувствительность определения нелинейных устройств резко падает. Существенным недостатком приборов данной подгруппы является небольшая дальность обнаружения, ограниченная физической доступностью к проводам линии и необходимостью отключения телефонной линии от АТС на время проверки. Эти особенности эксплуатации не позволяют производить оперативный контроль телефонной линии и ограничивают дальность проверки. Приборы наиболее пригодны для периодических проверок обесточенных коротких отрезков линий (телефонных, электросети, сигнализации) внутри здания. Несмотря на большое количество различных типов устройств для проверки и контроля телефонных линий, на сегодняшний день не существует универсальной аппаратуры, позволяющей со 100-процентной вероятностью гарантировать обнаружение любых прослушивающих устройств. А такие устройства, как индуктивные съемники, без радиоканала не определяются ни одним прибором из перечисленных групп. Следует учитывать, что наибольшее распространение (до 95 %) получили контактно подключенные устройства прослушивания переговоров с радиоканалом и питанием от линии и устройства типа «телефонное ухо». Достаточно распространено прослушивание с помощью параллельных телефонных аппаратов, АОНов и автоответчиков.

Построение системы корпоративной безопасности

Объекты обеспечения безопасности: бизнес-процессы; руководство и персонал; активы; финансовые средства; материальные ценности; технологии; информационные ресурсы; репутация компании; иные объекты. Субъекты обеспечения безопасности: 1 вариант — обеспечением безопасности занимается руководство компании; 2 вариант — обеспечением безопасности занимается сотрудник, у которого есть иные должностные обязанности (работа по совместительству); 3 вариант — обеспечением безопасности занимается сотрудник, у которого эта работа входит в основные должностные обязанности (отдельная должность); 4 вариант — обеспечением безопасности занимается Совет по безопасности (совещательный орган) и сотрудник, у которого эта работа входит в основные должностные обязанности; 5 вариант — обеспечением безопасности занимается внешняя организация (аутсорсинг безопасности); 6 вариант — обеспечением безопасности занимается Служба безопасности; 7 вариант — смешанный вариант из вышеперечисленных. Виды аутсорсинга безопасности полный; частичный (по времени или по решаемым задачам). На аутсорсинг рекомендуется отдать: создание систем инженерно-технической, технической и ИТ безопасности; проведение независимого аудита корпоративной безопасности или отдельных направлений; независимое консультирование по вопросам корпоративной безопасности; проведение охранных мероприятий; осуществление детективной деятельности; осуществление контрольно-пропускного и внутриобъектового режимов; стратегическое направление бизнес-разведки, предполагающее использование информационно-аналитических систем; правовую защиту бизнеса (привлечение адвокатов и юридических организаций); осуществление защиты от аппаратуры промышленного шпионажа, проведение спецпроверок и специсследований помещений и технических средств обработки информации; услуги по взысканию долгов (коллекторские услуги). На Службу безопасности рекомендуется возложить: организацию работ по созданию корпоративной безопасности; создание нормативно-правовой базы компании, регламентирующей безопасность компании и осуществление контроля за ее выполнением; координацию действий сотрудников и подразделений компании по вопросам обеспечения безопасности; взаимодействие с государственными и правоохранительными органам по вопросам, затрагивающим безопасность компании; взаимодействие с аутсорсинговыми организациями, представляющими услуги по корпоративной безопасности; организацию защиты конфиденциальной информации; текущее обслуживание технических средств безопасности и охраны; информационно-аналитическую работу по обеспечению безопасности компании; анализ финансовой деятельности компании с целью предотвращения и вычисления противоправных действий, наносящих ущерб интересам компании (воровство, откаты, мошенничество, коммерческий подкуп и т.д.); проведение мероприятий, направленных на обеспечение кадровой безопасности компании; проведение внутренних проверок по фактам совершения противоправных действий со стороны персонала компании; консультирование и предоставление рекомендаций руководству и персоналу компании по вопросам обеспечения безопасности. Плюсы аутсорсинга по безопасности: профессионально; проще для компании; привязка к гражданско-правовому договору; возможность нестандартных решений исходя из опыта работы; нет зависимости от мнения руководства компании; в некоторых случаях дешевле; последствия безопасны для компании. Минусы аутсорсинга по безопасности: в некоторых случаях дороже; медленное погружение в тематику; замедленное реагирование на изменение ситуации (допсоглашение к договору); допуск посторонних людей в компанию; конкуренция за квалифицированный персонал внутри аутсорсинговой компании, так как наиболее профессиональные сотрудники обслуживают ключевых клиентов; разные интересы (увеличить прибыль для аутсорсинговой организации и снизить затраты для самой компании). Международные организации, представляющие услуги по аутсорсинговому обслуживанию в области корпоративной безопасности (ссылки) www.controlrisks.com www.kroll.com www.gpwltd.com www.hartsecurity.com www.olivegroup.com www.drum-cussac.com www.g4s.com Задачи построения системы корпоративной безопасности: обеспечение устойчивого функционирования компании; предотвращение угроз безопасности компании; защита законных интересов компании; проведение охранных мероприятий; защита информационных ресурсов компании; иные задачи, исходя из объектов безопасности. Основные виды угроз интересам компании: Под угрозой безопасности компании следует понимать потенциально или реально возможное событие, действие, процесс или явление, которое способно нарушить её устойчивость и развитие или привести к остановке её деятельности. Угрозы классифицируются: постоянные/временные; внешние/внутренние. В соответствии с общей теорией безопасности выделяют пять групп базовых угроз: угрозы, связанные с конкурентной борьбой; угрозы, связанные с человеческим фактором; угрозы, связанные с деятельностью государства (коррупция, несовершенство законодательства, административный ресурс, политика и т.д.); угрозы, связанные с организованной преступностью; угрозы, связанные с техногенными и природными факторами. Типы внешних угроз: экономические угрозы в стране и мире; политические угрозы в стране и мире; угрозы со стороны государственных органов (коррупция и т.д.); угрозы при осуществлении гражданско-правовых отношений с контрагентами; угрозы со стороны конкурентов; техногенные и природные угрозы; угрозы, связанные с организованной преступностью. Типы внутренних угроз: угрозы со стороны персонала компании; угрозы, связанные с неэффективным управлением и организацией бизнес-процессов. Борьба с угрозой проходит по следующим этапам: 1 этап — определение угрозы; 2 этап — определение варианта реализации угрозы и формирование модели потенциального правонарушителя; 3 этап — определение вероятности наступления события; 4 этап — определение возможного ущерба от угрозы; 5 этап — выстраивание системы защиты от угрозы включая превентивные меры, меры реагирования при наступлении угрозы и меры ликвидации последствий. При оценке угроз безопасности применяются: теория надежности для определения угроз, создаваемых техническими средствами (сбои, отказы, ошибки и т.д.); математическая статистика для описания естественных угроз (природные явления, стихийные бедствия и т.д.); теория вероятности для описания угроз, создаваемых людьми по небрежности, халатности и т.д.; экспертные методы для описания умышленных угроз. Основные виды угроз предпринимательской деятельности: физические преднамеренные (кражи, нападения, взломы, проникновения на территорию и т.д.); непреднамеренные (природные и технические); информационные преднамеренные (внутренние и внешние угрозы); непреднамеренные (некомпетентность пользователя, ошибки при разработке программного обеспечения, халатность, отказы технических средств и т.д.); экономические преднамеренные (недобросовестная конкуренция, демпинг, промышленный шпионаж, шантаж и т.д.); объективные (инфляция, конкуренция, экономические кризисы и т.д.); юридические целенаправленные (заведомо неправильное оформление договоров, документов и т.д.); субъективные (юридические ошибки). Угрозу можно классифицировать по различным основаниям и измерить их в количественных параметрах. Например, возможный ущерб оценивается числом погибших людей, потерявших (ухудшивших) здоровье, денежной сумме экономических потерь и т.д. По степени вероятности угроза оценивается как: реальная, где вероятность может быть подсчитана, например, исходя из статистики, экспертным методом, методикой группового SWOT анализа и т.д.; потенциальная По степени развития угроза проходит четыре этапа: возникновение; экспансия; стабилизация; ликвидация. Отдаленность угрозы во времени определяется как: непосредственная; близкая (до 1 года); далекая (свыше 1 года). Отдаленность угрозы в пространстве определяется как: территория компании; прилегающая к компании территория; территория региона; территория страны; зарубежная территория. Темпы нарастания угрозы измеряются по месяцам, кварталам, годам. Угрозы делятся по природе их возникновения на два класса: естественные (объективные), т.е. вызванные стихийными природными явлениями, не зависящими от человека (наводнения, землетрясения, ураганы и т.п.); искусственные (субъективные), т.е. вызванные деятельностью человека непреднамеренные (неумышленные) и преднамеренные (умышленные) угрозы. К угрозам безопасности личности относятся: похищения и угрозы похищения руководства, сотрудников, членов их семей и близких родственников; убийства или насилие; психологический террор, угрозы, запугивание, шантаж, вымогательство; нападение с целью завладения денежными средствами, ценностями или документами. К угрозам в отношении помещений (в том числе и жилых) относятся: взрывы; обстрелы из огнестрельного оружия; минирование; поджоги; нападение, вторжение, захваты, пикетирование, блокирование; повреждения входных дверей, решеток, ограждений, витрин, мебели, а также транспортных средств; технологические аварии, пожары. К угрозам финансовым ресурсам относятся (применительно к инвестиционным компаниям или банкам): не возврат кредитов; мошенничество со счетами и вкладами клиентов, а также с финансовой или бухгалтерской отчетностью; подделка платежных документов и пластиковых карт; хищение финансовых средств из касс и инкассаторских машин. К угрозам информационным ресурсам относятся: разглашение конфиденциальной информации; утечка конфиденциальной информации через технические средства; несанкционированный доступ к охраняемым сведениям со стороны конкурентных организаций и преступных группировок; уничтожение или несанкционированное изменение информации; блокирование или разрушение технических средств приема, передачи, обработки и хранения информации. Целью системы безопасности является своевременное выявление и предотвращение опасностей и угроз, обеспечение защищенности деятельности компании и достижения ей целей бизнеса. Организация и функционирование системы безопасности компании должны осуществляться на основе следующих принципов комплексность; своевременность; непрерывность; активность; законность; системность и плановость; целесообразность; дублирования; специализация; взаимодействие и координация; совершенствование; централизация управления; золотое сечение безопасности. Существуют три понятия: безопасность, скорость и дешевизна. Строя систему, можно выбрать только два из них. Система может быть безопасной и быстрой, но при этом она окажется очень дорогой. Она может быть безопасной и дешевой, но она будет медленной. Она может быть дешевой и быстрой, но небезопасной. Выбор оптимальной комбинации (золотого сечения) — прерогатива лиц, принимающих решения; персональная ответственность; минимальное использование человеческого фактора. ограничение полномочий; многорубежность систем безопасности; равнопрочность; сочетание гласности с конспирацией; психологическое воздействия на правонарушителя. Средства обеспечения безопасности технические средства; организационные средства; информационные средства; финансовые средства; правовые средства; кадровые средства; интеллектуальные средства. Корпоративная безопасность достигается: созданием организационно защищенной структуры бизнеса; проведением мероприятий по защите компании. Организационно защищенная структура бизнеса: регистрация компании в оффшоре; разделение бизнеса на владеющие (активы) и операционные компании (договора); создание холдинга; использованием заемного капитала; отсутствием собственности (аренда помещений, лизинг оборудования и т.д.); обременение активов (например, использование залоговых схем); наличие филиалов и представительств; диверсификация бизнеса; установление ключевых акционеров (государство, распределение акций и т.д.); защищенная организационно-правовая форма; выстраивание защищенных бизнес процессов; создание защищенных учредительных документов (в первую очередь Устав); выстраивание отношений с государственными органами (лобби); участием компании в политической жизни страны; выстраивание взаимовыгодных отношений с государственными структурами (выполнение социальных проектов, поставка товаров и услуг для нужд государства и т.д.); возможностью быстро вывести активы и уехать в другую страну. Система безопасности компании включает в себя подсистемы: информационная безопасность; кадровая безопасность; экономическая безопасность; физическая безопасность; личная безопасность; инженерно-техническая безопасность; техническая безопасность; IT-безопасность; правовая защита бизнеса. Информационная безопасность компании достигается проведением: режимных мероприятий; инженерно-технических мероприятий; организационных мероприятий; мероприятий по созданию и функционированию конфиденциального делопроизводства; нормативно-правовых мероприятий; IT-мероприятий; кадровых мероприятий. Кадровая безопасность компании достигается проведением: проверочных мероприятий при приеме сотрудников; мероприятий по защите компании от противоправных (некомпетентных) действий со стороны сотрудников, включая как проведение превентивных мероприятий, так и внутренних расследований; мероприятий при увольнении сотрудников. Экономическая безопасность компании достигается проведением: организационными мероприятиями по защите бизнес-процессов; информационно-аналитической работы (бизнес-разведка); мероприятий по защите от мошенничества (внутреннего и внешнего); аудита кредитно-финансовой деятельности компании мероприятий по взаимодействию с государственными и правоохранительными органами; мероприятий по защите от враждебного поглощения; мероприятий по взысканию долгов. Физическая безопасность компании достигается проведением: контрольных мероприятий сотрудниками компании (при наличии должностей контролеров контрольно-пропускных пунктов); охранных мероприятий силами частных охранных организаций; охранных мероприятий силами подразделений вневедомственной охраны (ФГУП «Охрана»); охранных мероприятий силами подразделений ведомственной охраны; охранных мероприятий силами подразделений государственной охраны. Личная безопасность компании достигается проведением: мероприятий по физической защите; мероприятий по юридической защите; мероприятий по психологической защите. Инженерно-техническая безопасность компании достигается проведением: противопожарных мероприятий; мероприятий по контролю и управлению доступом в компанию; мероприятий по проведению видеонаблюдения в компании; мероприятий по контролю периметров компании; мероприятий по установке систем сигнализации. Техническая безопасность компании достигается проведением: мероприятий по защите акустического канала утечки информации; мероприятий по защите визуального канала утечки информации; мероприятий по защите от побочных электромагнитных излучений и наводок. IT-безопасность компании достигается проведением: мероприятий по защите автономной информации; мероприятий по защите информации, находящейся в корпоративной сети; мероприятий по защите информации при передаче ее между территориально разрозненными объектами. Экологическая безопасность достигается: выполнением требований законодательства в сфере экологии; проведением исследований помещений, занимаемых компаний (радиационный фон, химические вещества и т.д.). Правовая защита бизнеса достигается: соблюдением законодательства; использованием профессиональных юристов и адвокатов. Способы функционирования системы безопасности «одевание брони»; изменение местоположения; устранение угрозы; маскировка истинного положения дел. Служба безопасности компании Служба безопасности (СБ) — подразделение компании, обеспечивающее или организующее безопасность компании. СБ, как и любое другое подразделение компании, должно иметь положение о подразделении, утвержденное руководителем компании. Под положением понимается правовой акт, определяющий свод правил, регулирующих деятельность СБ, её взаимоотношения с другими подразделениями компании и сотрудниками, права и обязанности в сфере её деятельности. В положении о СБ целесообразно включить следующие разделы: общие положения; основные задачи; функции; права и обязанности; руководство; взаимоотношения и связи; имущество и средства; контроль, проверка и ревизия деятельности; реорганизация и ликвидация. На основании ФЗ «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с совершенствованием государственного контроля в сфере частной охранной и детективной деятельности» от 22.12.2008 № 272-ФЗ, вступившего в силу с 1 января 2010 года СБ лишены права проводить охранные мероприятия и осуществлять контрольно-пропускной и внутриобъектовый режим в компаниях. В связи с этим СБ стали заниматься в основном организационной, контрольно-ревизионной и аналитической работой. Проверка работы Службы безопасности метод «учебной тревоги». Данный метод хорошо зарекомендовал себя при проверки эффективности охранных мероприятий, разновидности этого метода — попытки несанкционированного проникновения на территорию, прохода по поддельным пропускам, имитация кражи или выноса материальных ценностей; метод соблюдения регламентов. Данный метод основан на контроле за выполнением регламентов по отдельным направлением деятельности (регламент проверки контрагента, регламент проверки кандидата на работу и т.д.); метод оценки по количеству раскрытых нарушений. Данный метод опасен тем, что сотрудники СБ могут начать искусственно создавать нарушения, чтобы показать свою значимость и эффективность; метод оценки по успехам — неудачам в деятельности компании. Эффективность данного метода тем выше, чем больше успех деятельности компании зависит от деятельности СБ; метод коэффицентов. Для того чтобы оценить эффективность СБ с помощью коэффициентов, следует определить сами коэффициенты. Необходимо, чтобы они были ориентированы на конечный результат в конкретном направлении. Например, коэффициент качества отбора кандидатов (Кк) — отношение количества сотрудников, уволенных за мошенничество (либо подозреваемых) из числа принятых за исследуемый период (У), к общему числу принятых на работу за этот же период (П): Кк = У/П. Очевидно, что идеальное состояние данного коэффициента равно нулю, а чем ближе его значение к единице, тем больше оснований говорить о полной некомпетентности СБ. экспертный метод. Суть этого метода сводится к тому, что в компании выделяют группу специалистов (обычно топ-менеджеров), так или иначе связанных с работой СБ. Они становятся экспертами. По окончании отчетного периода каждый из них оценивает работу СБ по некоторой условной шкале (например, от 0 до 5). Затем высчитывается средний показатель, который и является оценкой работы СБ за данный период. метод оценки о системе «BARS». Для применения этого метода необходимы эксперты (группа Б) и специалисты для подготовки методики (группа А). Лучше, если это будут люди, тесно связанные с работой СБ или даже принимающие в ней непосредственное участие. Эксперты группы А описывают специфические ситуации эффективного и неэффективного исполнения обязанностей либо каждого сотрудника СБ в отдельности, либо всей службы в целом. Далее полученные родственные (сходные) ситуации объединяют в небольшие группы, которые затем кратко характеризуются. Эти же специалисты ранжируют поведение, описанное в каждом случае, внутри группы с помощью 7—9-уровневых шкал. Эксперты группы Б с определенной периодичностью проводят оценку СБ по выведенным шкалам при помощи установленных критериев; метод оценки по совокупным показателям. Основу этого способа составляет разработанная в компании система показателей, которая может включать в себя объективные требования, знание теории и практики, общие результаты работы вверенного сектора компании, неплановые проверки и т.д. Подчинение Службы безопасности: владельцу бизнеса (учредителю); генеральному директору (руководителю организации); акционерам; Структура Службы безопасности: начальник; экономист; оперативник; аналитик; технарь; ИТ безопасник; Взаимодействие Службы безопасности: служба персонала; ИТ подразделение; юридическая служба; контрольно-ревизионное подразделение; маркетинговое подразделение; финансовое подразделение; основные бизнес подразделения. Подготовка к созданию системы безопасности компании Подготовка к созданию системы безопасности компании осуществляется по следующей схеме: постановка проблемы; изучение вопроса (рассмотрение всех возможных угроз, определение вероятного противника); анализ существующей ситуации; прогноз развития событий; выработка рациональной политики исходя из уровня финансирования; принятие решений. При анализе существующей ситуации рекомендуется учитывать следующее: политическую и экономическую ситуацию в стране и регионе; предсказуемость поведения административных структур и направления проводимой ими политики; состояние правовой базы в области деятельности компании; наличие материально-сырьевых, товарных, трудовых и иных ресурсов в месте расположения компании; криминогенная ситуация в регионе; состояние рыночной среды, инфраструктуры рынка, в том числе рынка сбыта; конкурентоспособность продукции (услуг), выпускаемой компанией, определение уровня цен и платежеспособности населения; анализ возможностей по установлению деловых контактов, наличие реальных и потенциальных конкурентов; анализ партнеров по деловым связям, их платежеспособности; анализ состояния безопасности самой компании, в том числе оценка состояния обеспечения компании различными ресурсами, степень защищенности объектов безопасности, надежность кадрового потенциала, состояние финансовой, информационной, кадровой, технико-технологической, экономической, силовой составляющей безопасности, возможности компании по созданию, содержанию и оснащению собственной службы безопасности и т.д. При определении уровня финансирования системы безопасности нужно учитывать: система безопасности является непроизводственной сферой, она не зарабатывает деньги, она способствует их сохранению; полноценная отдача от системы безопасности в целом может быть получена примерно через полгода после начала ее создания, хотя отдельные подсистемы могут начать активно функционировать и выполнять поставленные задачи с первых дней; обеспечение высокого уровня безопасности требует больших финансовых вложений. При определении уровня угроз компании ее руководитель должен учитывать насколько руководитель компании доверяет своим сотрудникам и как сильно они могут его «подвести»; в каком состоянии находится сектор рынка, в котором работает компания, есть ли в нем «монстры», как часто происходит передел сфер влияния, насколько остро идет борьба за клиента, как проявляется конкуренция, какие отношения с конкурентами и кто за этими конкурентами стоит; как складываются у руководства компании отношения с государственными органами, в особенности с правоохранительными и контролирующими; какие у руководства компании отношения с криминалом. Особенность построения корпоративной безопасности в условиях экономического кризиса Период экономического кризиса характеризуется: снижением финансирования мероприятий, направленных на обеспечение безопасности компании; снижением количества оборотных денег и сложности с получением кредитов; изменением направлений деятельности компании и организационной структуры компании; снижением заработной платы сотрудников и общего уровня жизни; отсутствием полной загрузки сотрудников работой с предоставлением вынужденных неоплачиваемых отпусков; массовыми увольнениями сотрудников; обострением отношений между акционерами (совладельцами) компании; увеличением случаев невыполнения договорных обязанностей контрагентов и увеличением задолженностей по платежам. В период экономического кризиса построение системы безопасности имеет следующие особенности: определение направлений работы, выполнение которой надо оставить за сотрудниками СБ и направлений работы, которую можно отдать на аутсорсинг; реорганизация СБ исходя из снижения объема решаемых задач, в связи с передачей части функций на аутсорсинг; внесение изменений в концепцию обеспечения безопасности компании или создание новой концепции исходя из особенностей обеспечения безопасности компании в период проведения антикризисных мероприятий; привлечение СБ к проведению антикризисных мероприятий в компании; проведение активных мероприятий с увольняемыми сотрудниками с целью недопущения нанесения ими ущерба интересам компании после увольнения; увеличение количества мероприятий по проведению внутрикорпоративных расследований; увеличение количества проводимых мероприятий по предупреждению и раскрытию фактов воровства, мошенничества и иных противоправных действий; усиление информационно-аналитической работы, направленной на вычисление ненадежных партнеров и контрагентов; увеличение количества мероприятий, направленных на взыскание дебиторской задолженности. После проведения анализа ситуации переходят к созданию основного документа, регламентирующего деятельность по обеспечению безопасности компании. Этот документ обычно называется Концепция обеспечения безопасности компании или Политика безопасности компании и утверждается у руководства компании. Структурно он может состоять из следующих разделов: Раздел 1. Описание ситуации в области безопасности компании определение состояния окружающей конкурентной среды; анализ экономического состояния компании, его ресурсного потенциала, степени защищенности объектов безопасности, надежности кадрового потенциала, состояния его функциональных составляющих: финансовой, кадровой и интеллектуальной, правовой, информационной, технико-технологической, экологической, силовой и т.д.; выявление потенциальных и реальных угроз и экономических рисков, их ранжирование по степени значимости или опасности по времени наступления или величине возможно нанесенного ущерба; определение причин и факторов зарождения угроз и экономических рисков; прогнозирование возможных негативных последствий отдельных угроз и экономических рисков, расчет возможного ущерба; формулировка проблемной ситуации. Раздел 2. Определение целевой установки обеспечения безопасности формулирование политики и стратегии безопасности; определение цели безопасности; постановка задач, способствующих достижению цели и реализации сформулированной политики и выбранного типа стратегии. Раздел 3. Построение системы безопасности компании формулирование функций системы безопасности компании и выбор тех принципов, на которых она строится; определение объектов безопасности и анализ состояния их защищенности; создание органов (субъектов) обеспечения безопасности; разработка механизмов обеспечения безопасности; создание организационной структуры управления системой безопасности компании. Раздел 4. Разработка методов оценки состояния безопасности компании определение основополагающих критериев и показателей состояния безопасности компании; выбор методов оценки состояния безопасности компании; формирование системы методов анализа экономических рисков. Раздел 5. Расчет сил и средств, необходимых для обеспечения безопасности расчет необходимого количества материально-технических ресурсов, средств защиты и охраны объектов безопасности; определение необходимого количества людских ресурсов и затрат на их содержание и стимулирование труда; определение финансовых затрат, необходимых для обеспечения безопасности компании; сопоставление необходимых затрат с возможным ущербом от воздействия угроз и экономических рисков. Раздел 6. Разработка мер по реализации основных положений концепции безопасности компании определение условий, необходимых и достаточных для реализации концепции; нахождение источников ресурсного обеспечения концепции; выделение финансовых средств для реализации концепции; разработка стратегического плана (или программы), а также планов работы структурных подразделений службы безопасности по решению задач, определенных концепцией; подготовка профессиональных кадров для службы безопасности, а также обучение сотрудников компании (в части, их касающейся) вопросам соблюдения правил безопасности, действиям в чрезвычайных ситуациях, правилам пропускного режима, работы с документами, соблюдению коммерческой тайны и т. д.; создание определенного типа службы безопасности и организация ее управления; установление технических средств защиты; контроль за выполнением основных положений концепции безопасности; развитие системы безопасности компании, постоянная адаптация ее к изменяющимся условиям, совершенствование форм и методов ее работы. При построении системы корпоративной безопасности желательно знать: наиболее эффективная система корпоративной безопасности возникает тогда, когда система создается в виде баррикады, где с одной стороны находятся руководство, персонал компании, СБ, а с другой стороны правонарушитель. К сожалению, часто система представляет собой многоугольник, где руководство находится с одной стороны, персонал с другой стороны, СБ с третьей, а правонарушитель неизвестно где; при построении системы корпоративной безопасности многое зависит от позиции руководства компании — если оно заинтересовано в наведении порядка и поддерживает СБ в их действиях, то состояние безопасности достигается быстрее; одной из главных угроз интересам бизнеса являются угрозы со стороны государства, выраженные в превышениях полномочий (коррумпированности) контролирующих и правоохранительных органов. Необходимо определить стратегию защиты, которая может быть выражена в правовой (судебной) защите, финансовом урегулировании проблемы, полицейском «крышевании», нахождении взаимовыгодных вариантов сотрудничества и т.д.; в последнее время СБ часто приходится защищаться от черных PR-акций, направленных на подрыв авторитета (имиджа) компаний; острые вопросы деятельности СБ — оценка ее деятельности и мотивация сотрудников СБ. Работа профессионально функционирующей СБ не видна, так как действует на упреждение, оценка деятельности сотрудников затруднена тем, что нет эффективных и наглядных методик оценок; любая система безопасности тормозит развитие организации в целом. Единственный выход — следовать за изменениями, меняться вслед за бизнесом. Наиболее эффективно управление безопасностью там, где оно непосредственно включено в бизнес-процессы.

Кадровая безопасность компании

Какие угрозы в компаниях чаще всего существуют от пресловутого «человеческого фактора»? Ответ: Угрозы, применительно к «человеческому фактору» возможны по следующим направлениям: совершение сотрудниками противоправных действий (воровство, мошенничество, откаты, проведение сделок через подконтрольные компании, махинации с финансовой отчетностью, внутренний сговор, работа одновременно на нескольких конкурирующих компаниях и т.д.); разглашение сотрудниками конфиденциальной (опасной) информации; совершение действий законных, но наносящих ущерб интересам компании (например, некомпетентных). Как чаще всего происходит разглашение конфиденциальной информации через «человеческий фактор»? Ответ: Разглашение информации через «человеческий фактор» чаще всего возможно: при контактах с сотрудниками компании, используя мотивированное и немотивированное разглашение информации; через сотрудников, ранее уволившихся из компании; при контактах сотрудников компании с представителями государственных органов в рамках контролирующих, следственных или иных мероприятий; при контактах сотрудников компании в рамках аутсорсинга или внешнего консалтинга (аудита); через человека, внедренного в компанию. Что такое мотивированное разглашение информации? Ответ: Мотивированное разглашение информации сотрудником компании возможно по следующим причинам: алчность (подкуп); шантаж; сведение счетов с другой организацией или с другим человеком (обида); расчет получить какие-либо блага (решение личных проблем сотрудника); страх сотрудника за свою жизнь и за жизнь близких людей; стремление к власти; национальные чувства; религиозные чувства; гражданский долг (игра на законопослушании); общечеловеческая мораль (игра на порядочности); корпоративная (клановая) солидарность; увлечение чем-либо (например, коллекционирование); расчет получения другой информации взамен. Что такое немотивированное разглашение информации? Ответ: Немотивированное разглашение информации сотрудником компании возможно по следующим причинам: эмоциональность (в состоянии сострадания, любви, ревности, восторженности и т.д.); депрессия; внутренний авантюризм человека; использование элементов нейро-лингвистического программирования (НЛП) и гипноза; легкомысленная болтливость; алкогольное опьянение; импульсивность; тщеславие и честолюбие (склонность к достижению превосходства над окружающими за счет показа своей информированности и осведомленности); увлеченность работой (особенно часто происходит разглашение информации при контактах с коллегами по профессии). Что порекомендуете с точки зрения кадровой безопасности в организации кадровой работы? Ответ: В кадровой работе, с точки зрения кадровой безопасности, необходимо придерживаться следующего: проводить серьезный и всесторонний отбор сотрудников,при котором не допускается: прием на работу людей, имеющих личностные недостатки, которые могут нанести вред интересам компании; создать условия, при которых работнику будет невыгодно совершать действия, наносящие ущерб компании.Эти условия должны включать целую систему мер по моральному и материальному стимулированию, заинтересованности в результатах труда, формированию престижности работы в компании, заботе о внешнем и внутреннем имидже компании и т.д.; заботиться о формировании и поддержании оптимального соци­ально-психологического климата в коллективе, создании корпоративной культуры. Возможно проведение коллективных неформальных мероприятий, в которых работники могут совместно проводить время, участвовать в них семьями. Корпоративная культура, как свод правил и норм поведения, может быть документальным и представлять собой описание действий персонала в тех или иных ситуациях. В описание корпоративной культуры могут быть внесены пункты, прямо определяющие поведение сотрудников при столкновении с конкурентами (склонении к сотрудничеству, переманивании или выведывании информации); исключить возможность злоупотребления сотрудниками и соблазн совершения противоправных действий. По статистике 10 % сотрудников никогда не будут совершать противоправные действия, 10% будут их совершать всегда, а 80 % совершают правонарушения при наличии возможностей. Цель кадровой политики заключается в устранении возможности совершения противоправных действий для 80 %; обратить особое внимание на людей, наиболее подверженных вербовке (секретари, уборщики, системные администраторы и иные люди, которые знают коммерческие секреты или могут их узнать); осуществлять защиту от хедхантеров (охотниками за головами). Эта защита, как правило, заключается в мотивации персонала, ограничении распространения информации о наиболее квалифицированных сотрудниках, установлении обязательств, по которым сотрудники обязаны компании (например, содействие в выдаче кредитов), заключение договоренностей с конкурирующими компаниями и компаниями, занимающимися хедхантерством о непереманивании работников и т.д.; использовать в кадровой политике принцип кнута и пряника. Пряник, как правило, предполагает создание системы мотивации, а кнут — неотвратимость наказания за совершенные поступки; проводить периодические, особенно внеплановые, проверки; иметь в компании грамотного юриста, обеспечивающего правовое прикрытие деятельности Службы безопасности в кадровой политике; создать сеть осведомителей и добровольных помощников Службы безопасности среди персонала, используя различные мотивы, начиная от идеологии и заканчивая компроматами; заключить договора о сохранении коммерческой тайны с сотрудниками компании.Периодическое (ежегодное или ежеквартальное) напоминание работникам о необходимости соблюдения определенных правил поведения с обновлением соответствующей подписки. Обычно такие мероприятия из-за своей формализованной процедуры превращаются в чисто номинальные. Поэтому, как руководителю компании, так и работникам кадровой службы и Службы безопасности стоит задуматься над тем, чтобы снизить формализм в проведении этих мероприятий и психологически поднять их значимость и действенность; применять методы формирования команды или принцип ротации работников низших должностей для противодействия совершения персоналом противоправных действий; четко разграничить полномочия и ответственность между сотрудниками компании с целью исключения конфликтов, связанных с пересечением сфер корпоративных отношений, компетенции, подчиненности и т.д. Создать должностные инструкции; определить мотивы, по которым могут совершаться противоправные действия и людей, наиболее подверженных этим мотивам (мотив — нужда в деньгах на лечение родственника, мотив — привычка к воровству, так как ранее работал на госпредприятии, где все воровали и т.д.); предупреждать ситуации, при которых работник или близкие ему люди могут оказаться в безвыходном критическом положении при возникновении острых жизненных проблем. Профилактика таких ситуаций (в частности, долгов, материальных затруднений) должна осуществляться путем оказания материальной, юридической, психологической и иной помощи. Работники должны быть уверены в том, что в случае возникновения у них трудностей, компания может прийти к ним на помощь. Нужно также не допускать случаи безразличного отношения к просьбе и жалобе каждого работника, а при возникновении таких случаев — оперативно и жестко реагировать на них; обеспечивать безопасность сотрудников (в первую очередь руководства). Достигается мероприятиями по физической, психологической и юридической защите; создать нормативную регламентацию управленческих процессов (политики, инструкции, регламенты, алгоритмы и т.д.), ознакомить сотрудников с правилами и процедурами работы по линии корпоративной безопасности в компании под роспись, создать необходимые условия для их выполнения; разработать и внедрить программы обучения сотрудников психологически грамотным действиям во внештатной ситуации (пожар, стихийное бедствие, внеплановые проверки и др.); использовать технические (аппаратные или программные) средства для осуществления мероприятий «e-spy methods» — таких методов, как просмотр электронной почты и трансакций в локальной сети сотрудника, организация мониторинга информации, проходящей через сотрудника компании и т.д.; внедрить систему материального и морального стимулирования, дополнительно «привязывающих» работника к компании, которые он не сможет получить в конкурирующих организациях. Такая система может включать поощрения (бонусы) за добросовестную работу, соблюдение трудовой дисциплины и лояльность компании.Максимально применять нематериальные системы мотивации, как наиболее эффективные (идеология, личная преданность, национальные особенности, родственные связи и т.д.); внедрить персональную ответственность за содеянные поступки и неотвратимость наказания за нарушения требований по безопасности. Наказание за содеянные проступки должно быть публичным; применять психологические приемы работы с сотрудниками (беседы, предупреждения и т.д.); проводить анализ жизни и работы сотрудников (расходы, материальные ценности, поведение и т.д.) с целью вычисления сотрудников, замешанных в противоправных действиях; применять организационные меры, способствующие усилению корпоративной безопасности.Например, разбивание полномочий на части или разбивание конфиденциальной информации с определением прав доступа к каждой части. Как осуществляется контроль за сотрудником со стороны Службы безопасности? Ответ: Контроль за сотрудником со стороны Службы безопасности строится по направлениям: контроль действий, которые совершает сотрудник в течение рабочего времени; контроль и проверка отчетности (особенно документов), представляемой сотрудником; контроль служебных и некоторых внеслужебных контактов сотрудника; контроль адекватности поведения сотрудника, особенно анализ смены поведения во времени. При наложении этих наблюдений на график совершения сделок можно увидеть определенные закономерности и сделать некоторые выводы. Особое внимание следует обращать на такие показатели, как резкое изменение благосостояния сотрудника, значительное и длительное ухудшение настроения, замкнутость, рассеянность и т.п.; внутренний аудит, сбор, обобщение и анализ информации, использование доверенных лиц в этой работе. Какие существуют мотивирующие факторы, способствующие усилению лояльности сотрудников? Ответ: Обычно применяются следующие мотивирующие факторы, применяемые в кадровой работе, способствующие усилению лояльности сотрудников: деньги и иные материальные блага для сотрудников; условия труда и современные инструменты для работы; стабильность деятельности компании, уверенность в завтрашнем дне; защищенность (юридическая, психологическая, физическая и т.д.); профессиональное признание; карьерный рост; психологически комфортный коллектив; возможность создавать и улучшать личные достижения в профессиональном плане; предоставленные полномочия; бренд компании; возможность переобучения, профессиональной переквалификации; работа сама по себе (удовлетворенность в решении профессиональных задач); содействие компании в достижении личных целей сотрудников; прозрачность (справедливость вознаграждения); гибкость (индивидуальность) подхода; желание принадлежать к конкретной группе сотрудников. Какие существуют факторы, способствующие ослаблению лояльности сотрудников? Ответ: Факторы, которые способствуют ослаблению лояльности сотрудников: заниженная оценка труда (например, заработная плата); отсутствие признания результатов труда со стороны руководства; отсутствие возможности профессионального роста; плохие условия труда; рутинные задачи; несовпадение личного карьерного плана и корпоративных возможностей; отсутствие стабильности и защищенности; несовпадение социальной роли и статуса позиции; несовпадение корпоративной и личной культуры и этики; формальный (недемократичный) стиль руководства. Какие существуют растровые признаки опасности, по которым Служба безопасности вычисляет совершение сотрудниками противоправных действий? Ответ: Растровыми признаками опасности, которые анализирует Служба безопасности, как правило, следующие: несоответствие доходов и расходов (жизнь не по средствам); контакты в криминальной среде; длительное нежелание идти на повышение по службе (на данной должности удобно совершать мошеннические действия); нежелание брать отпуск (если кто-то другой будет замещать его и заниматься той же работой, исполняющий обязанности сможет выявить нарушения); выходящий за стандартные рамки образ жизни; изменение в поведении человека; стремление уклониться от разговоров о прошлой работе и жизни; сокрытие своих родственных, дружеских и деловых связей Какими способами можно бороться с одной из основных проблем в кадровой безопасности — проблемой «откатов»? Ответ: Борьба с «откатами» (или коммерческим подкупом) реализуется по следующим направлениям: анализом ценовой политики при заключении гражданско-правовых отношений; разбиванием должностных полномочий сотрудников на части; разделением сотрудников, которые осуществляют заказ работ и услуг и сотрудников, которые осуществляют прием работ и услуг; коллегиальностью в принятии решений (торги, конкурсы, внутреннее согласование договоров и т.д.); ротацией кадров, занимающих должности, на которых возможно совершать «откаты»; проверкой персонала при приеме на работу; воздействием (дисциплинарным, моральным и т.д.) на сотрудников, замешанных в «откатах»; назначением «подконтрольных» сотрудников на должности, предполагающие «откаты» Какие могут быть психологические особенности сотрудников, представляющих опасность для компании? Ответ: Психологические особенности сотрудников, представляющие опасность для компании: пренебрежение и даже презрение по отношению к общепринятым моральным нормам (не красть, не обманывать, не причинять зла людям, с которыми он вместе живет и работает). Сотрудник относится к ним с пренебрежением и цинизмом. Такой работник не будет испытывать угрызений совести от того, что подводит или предает коллег, компанию, в которой трудится; индивидуалистическая направленность личности, неумение и нежелание работать в единой команде, устойчивое стремление противопоставить себя коллегам, отсутствие корпоративных чувств, привязанности к месту работы и коллективу; завышенная самооценка, не соответствующая реальным возможностям человека, вера в собственную непогрешимость, непомерное тщеславие, неудовлетворенные амбиции, завистливость, как следствие неудовлетворенность карьерой, противоречие между высокими притязаниями и реальным продвижением по службе; черты характера, обусловленные психопатией и характеризующиеся мстительностью, злопамятностью, повышенной обидчивостью.Такие люди долго не могут освободиться от своих негативных переживаний, простить обиду и задетое самолюбие. Им обычно свойственна конфликтность с окружающими (неуживчивость, намеренное противопоставление себя другим людям). Эти лица могут переживать конфликт в течение длительного времени. Особенно опасен устойчивый конфликт «по вертикали», когда работник надолго сохраняет желание отомстить за нанесенные обиды своему руководителю; инфантилизм (личностная незрелость), отсутствие самостоятельности суждений, ориентация на других, более сильных в психологическом отношении людей, в принятии решений и действиях (легкая добровольная подчиненность влиянию со стороны). Таким людям не хватает самоорганизации. Они не умеют планировать свой бюджет, свою жизнь, не способны противостоять внешнему давлению и шантажу, проявляют пугливость, трусость. Ими легче управлять, их легче втянуть в совершение противоправных или аморальных действий и поступков; импульсивность, которая является доминирующей в поведении.Она проявляется в том, что человека легко «завести», привести к потере самоконтроля и совершенно необдуманных, безрассудных действий. Такие люди нередко бывают болтливыми, их легко разговорить по любым вопросам, в том числе и по тем, которые составляют КТ. Особенно часто у них «развязывается язык» в неформальной обстановке, после принятия алкоголя, при вовлечении в спор или полемику и др. Такие люди подвластны эмоциям, чувствам и страстям, которые целиком захватывают их; под влиянием страстей они не могут «остановиться вовремя», принять рациональное решение. Им присущи слабости личного характера (например, злоупотребление спиртными напитками, пристрастие к азартным играм и др.). Они могут, например, проиграть свои и чужие деньги, потратить их на предмет личных увлечений, «потерять голову» от любви, необдуманно осуществить покупку дорогостоящей вещи в долг и т.п. Поступки таких людей определяются не осознанными целями и намерениями, а внутренними импульсами или внешними обстоятельствами (например, навязанными извне желаниями); неустроенность в личной жизни, отчужденность от других, одиночество, «потеря корней», отсутствие близких людей, связи с ними. Такая социальная «оторванность» во многом облегчает совершение ненормативных, аморальных поступков, поскольку человек считает, что в случае «прокола» он один будет нести ответственность, и страдать или переживать будет некому; острая ситуативная жизненная потребность (например, в дорогостоящем лечении близких), которую человек не может реализовать самостоятельно. Данный фактор является наименее прогнозируемым, а значит и наименее управляемым. В то же время оперативное получение полной и достоверной информации о возникновении такой ситуации может снизить ее негативное воздействие на надежность работника; наличие связи данного человека с кем-либо из представителей конкурирующих компаний. Как можно систематизировать схемы хищений (воровства), которые совершают сотрудники компаний? Ответ: Схемы хищений (воровства), которые совершаются сотрудниками компании, обычно систематизируются по уровням, в зависимости от ущерба: Уровень 1 Мелкие разовые хищения.Люди склонны иногда совершать мелкие кражи, не объясняемые рациональными причинами. Такие хищения не создают системы и не приносят заметных экономических убытков. Они совершаются скорее из озорства в тех случаях, когда человек уверен в своей безнаказанности. В большинстве случаев они происходят без предварительной подготовки и продумывания: человек просто хватает то, что, по его мнению, плохо лежит. Главное средство защиты от них — не создавать соблазнов. Уровень 2 Систематические хищения среднего размера: "надбавка к зарплате«.Этот уровень хищений отличается от первого тем, что совершается из экономических мотивов, носит систематический характер, продуман и обычно обеспечивается мерами безопасности. Расхищаются обычно незначительные (на фоне общего денежного потока) суммы: менее вероятно, что на них обратят внимание. Тем не менее, работник может обеспечить себе постоянный доход, сопоставимый с уровнем заработной платы. Такие хищения, в отличие от предыдущей группы, несут значительный ущерб для компании. Их опасность для морали персонала в том, что, хотя никто особо не афиширует своих «подвигов», в коллективе вырабатывается негласное отношение к ним как к обыденности. Особенно опасно, когда это отношение молчаливо разделяет и менеджмент компании: создаётся атмосфера попустительства. Менеджмент таких организаций не повышает сотрудникам зарплату, поскольку считает, что те «всё равно своё возьмут». Такая атмосфера быстро коррумпирует новых сотрудников. Важная психологическая особенность этого типа хищений — отсутствие у ворующих чувства вины. Если в организации или отдельных подразделениях сложилась такая атмосфера, то победить её полностью можно лишь уволив старый персонал и наняв новый. Попытки менеджмента бороться с такими хищениями путём налаживания системы учёта и контроля внедряются с большим трудом, зачастую вызывая возмущение у персонала, вплоть до увольнений. Уровень 3 "Внутреннее предпринимательство«.Это наиболее опасный уровень злоупотреблений, возникающий там, где сотрудникам предоставляется возможность распоряжаться крупными суммами и самостоятельно принимать крупные финансовые решения. Формально работая на компанию, такие люди создают на её основе внутренний «частный бизнес». Здесь речь идёт уже не о «дополнительной зарплате», а о присвоении больших сумм денег. Как правило, данный уровень присутствует в коммерческих структурах, где отдельные наёмные работники (торгующий персонал) реально оперируют сделками на крупные суммы, лично общаются с клиентами, имеют доступ к наличным и получают возможность так или иначе присваивать часть этих сумм. «Внутреннее предпринимательство» отличается от двух других типов злоупотреблений следующими особенностями: «внутренних предпринимателей» не бывает много; иначе, они разорили бы организацию; «внутренние предприниматели» гораздо более, чем «средние» расхитители, склонны вступать в сговоры и коалиции как внутри компании, так и с внешними контрагентами: присваиваемые ими суммы достаточно велики, чтобы была возможность делиться, а крупные сделки зачастую привлекают к себе внимание руководства и других «третьих сторон», которые могут заметить злоупотребления; как и расхитителей 2 уровня их не мучают особые угрызения совести и они не считают своё поведение предосудительным. Но мотивировка (в коммерческих организациях) иная: «я приношу организации такие крупные доходы, что она просто обязана делиться»; «внутренние предприниматели» обычно цепляются за своё место и боятся его потерять: ведь именно оно обеспечивает им доход. Чтобы покинуть организацию, они должны гарантированно обеспечить себе аналогичные условия в другом месте, что не всегда просто. Главный способ вычисления «внутреннего предпринимателя» — отслеживание его расходов, которые, как правило, значительно выше официальных доходов. Явный признак «внутреннего предпринимательства» (а также «средних» хищений) — «закрытость» отношений сотрудника с внешним клиентом. Эти сотрудники пытаются под предлогом того, что «клиент не будет работать ни с кем, кроме меня» максимально ограничить информацию о сделке, вплоть до попыток скрыть имя получателя комиссии. Как реализуется принцип персональной ответственности сотрудников в компании? Ответ: Персональная ответственность сотрудников контролируется и реализуется с помощью: росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах; индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах; проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, ключей, смарт-карт, электронной цифровой подписи как при доступе в автоматизированные системы, так и в выделенные помещения (зоны). Какие практические советы в отношении кадровой безопасности Вы можете дать? Ответ: Некоторые практические советы: запретить ведение служебных переговоров по личным телефонам (оставление личных номеров телефонов). Особенно это касается сотрудников компании, работающих с клиентами. У клиентов должны быть только служебные (рабочие) телефоны, в ином случае вместе с уходом сотрудника со своим личным телефоном, с которого он вел служебные переговоры, вместе с ним уходят и клиенты; если приходится платить «неучтенные деньги» клиентам, то у клиента происходит привязка к тому человеку, который их платит, поэтому желательно платить их самому, тем самым, привязывая клиента к себе; для того, чтобы избавляться от неугодных людей, применяются следующие схемы: устанавливать минимальный фиксированный оклад с максимальным процентным отношением премий. В этом случае чтобы избавиться от сотрудника снимают с него все премии, что вынуждает его уйти по собственному желанию; с проблемными сотрудниками лучше расставаться по статье «по согласию сторон». Эта статья практически никогда не оспаривается в суде (при выплате хотя бы небольших денег «отступных»); при увольнении лучше использовать объективные факторы (зафиксированные случаи опозданий, прогулов, появления в состоянии алкогольного опьянения и т.д.), а не субъективные (аттестационные комиссии и т.д.).

Защита от внешнего мошенничества

Какова структура внешнего мошенничества? Ответ: Структуру внешней мошеннической операции можно свести к следующим «шагам»: замысел. Определение области деятельности будущих жертв, способов «работы» с ними, определения средств ухода от ответственности; поиск «клиента», т.е. человека, чьи возможности (доходы) и личностные качества (доверчивость прежде всего) позволяют надеяться на успех замысла; исследование клиента на предмет выявления личностных слабостей, на которые следует опираться в его «обработке»; организация «случайного» контакта с клиентом, результатом которого должна стать ненавязчивая передача информации о чрезвычайно или просто достаточно выгодных условиях сотрудничества с мошеннической компанией; вовлечение (ненавязчивое) «клиентов» в обсуждение перспективы сотрудничества чаще всего осуществляется на «нейтральной» почве (вне прямого контакта с первым лицом в компании мошенников); латентная (скрытая) атака на клиента в форме предложения о совместной деятельности, обращенной сразу к нескольким партнерам одновременно, из которых по крайней мере один — «подсадная утка», назначение которой придать афере характер выгодной и безопасной сделки; заключение юридически грамотно оформленного контракта в случае возникновения практической заинтересованности жертвы к сотрудничеству; создание стимулирующей информационной среды с целью введения клиента в стрессовое состояние в связи с «объективно» сжатыми сроками реализации контракта в части соединения капитала в интересах будущих «весьма серьезных» прибылей. Это то, что можно назвать созданием ситуации, в которой у нормального человека возникает опасение «не успеть» и потому потерять выгодные возможности; получение денежных (или иных материальных) средств. В последнее время у крупных мошенников, организующих инвестиционные аферы, появилась тенденция во избежание возникновения подозрений и срыва на точке передачи просить клиента-жертву осуществлять свои вложения в «общее дело» исключительно по безналичному расчету; организация краха «общего» предприятия и «утраты» совместного капитала; идеологическая обработка клиента-жертвы в ключе сюжетов об общих потерях, из-за «не зависящих от организаторов дела» форс-мажорных обстоятельств. Иногда эта обработка ведется столь успешно, что обманутый клиент на оставшиеся средства пытается «вместе» с партнером восстановить союз двух организаций ради продолжения дела; запуск заранее подготовленного механизма защиты организации от возможного подозрения в мошенничестве и привлечения к уголовной ответственности. У некоторых крупных мошеннических организаций совокупные расходы на обеспечение безопасности достигают иногда 20 — 30% от выигрыша. Здесь самые разнообразные подкупы с целью не допустить до официального (а тем более судебного) рассмотрения вопроса. Главное — не допустить доказательной огласки фактов мошенничества и «потери лица». За счет организации новых афер под другими вывесками и с другими клиентами мошенникам нередко удается быстро возместить эти расходы и укрупнить свой капитал. Что такое субъект и объект мошенничества? Ответ: Под субъектом внешнего мошенничества понимают человека или группу людей, сознательно осуществляющих обман других людей ради незаконного получения ценностей объекта мошенничества. Субъектом мошенничества обычно становятся люди, обладающие следующими интеллектуально-психологическими свойствами: стремление быстро обогатиться без обычных трудовых усилий; аттарактивность, как природой данная привлекательность, вызывающая доверие к данному человеку; мощный комбинаторный интеллект, позволяющий строить модели поведения людей под влиянием внешних воздействий, прогнозировать их поведение и предусматривать меры для поддержания направления и характера их действий, соответствующих мошенническим замыслам; эмпатия, как способность чувствовать, мыслить и хотеть так, как чувствуют, мыслят и хотят люди, намечаемые к роли жертв мошенников; высоко развитое чувство превосходства, позволяющего действовать уверенно по отношению к людям, которые, по мнению субъекта аферы, «безусловно», стоят в интеллектуальном отношении намного ниже мошенника и поэтому позволяют себя обманывать; установка на такое нарушение законов, которое предусматривает возможность избегать разоблачения и наказания. Под объектом внешнего мошенничества понимают человека, против которого проводится мошенничество (жертва мошенников). Этот человек обычно обладает следующими качествами: стремление быстро обогатиться без обычных трудовых усилий; внушаемость (податливость, уступчивость...); невежественность в тех именно сферах, где действуют мошенники; потребность жить с верой в людей, и потому у них часто отсутствует необходимая критичность к сомнительным и подозрительным начинаниям и предложениям мошенников; чрезвычайно выражена зависимость в принятии любых решений от позиций, мнений, точек зрения других людей и внешних обстоятельств. Какие бывают формы внешнего мошенничества? Ответ: Внешнее мошенничество имеет следующие формы: использование фальшивых документов, особенно доверенностей, для совершения противоправных действий. Распространены поддельные документы существующих или вымышленных организаций, подделка печатей и штампов; создание компаний — однодневок; многократное использование залога. Предприятие-мошенник предлагает осуществлять совместную деятельность. Деньги должны быть перечислены этому предприятию не просто так, а под залог. Представителям вашей компании показывают этот залог, который многократно перекрывает перечисляемую вами сумму и к тому же очень ликвиден. После перечисления средств вы ждете товар. Когда же он не поступает, то вы решаете забрать залог. Однако оказывается, что на этот залог претендует еще несколько десятков кредиторов; подкуп работниковпредприятий-заказчиков или поставщиков. Мошенники завышают цены и объемы выполненных работ, а для того, чтобы представители клиента не выявили нарушений, им дается взятка; использование процедуры банкротствадля достижения противоправных действий, например для покупки организации за минимальные деньги; умышленное превышение руководителем своих полномочий. В уставах предприятий обычно оговариваются пределы компетенции руководителя предприятия. В частности, в уставах акционерных обществ обычно оговаривается максимальный размер сделок, которые наемный директор предприятия может заключать без санкции Правления общества. Кроме того, часто имеются ограничения по использованию директором имущества общества; финансовые пирамиды, имитирующие сбор денег, как правило, под инвестиционные проекты; Как правило мошенническая операция сопровождается психологическими приемами для убеждения (предложение очень выгодной сделки, применение элементов гипноза, разыгрывание ролей подставными лицами, козыряние своими связями с властными или преступными структурами, торопливость в заключении сделки и т.д.). Некоторые сценарии проведения мошеннических операций: использование имиджа добросовестных компанийдля получения денег по предоплате. В этом случае мошенники, обладающие достаточным первоначальным капиталом, перекупают известную компанию, которая добросовестно выполняла свои обязательства. Важнейшим условием перекупки является конфиденциальность сделки, то есть смена собственника держится сторонами в строгом секрете. Убеждая клиента сделать предоплату, новые владельцы называют предприятия, с которыми прежние собственники работали долго и успешно. Мошенники даже дают телефоны партнеров, не информированных о смене собственников компании. Клиенту такие партнеры подтверждают исполнительность предприятия. После получения денег по предоплате мошенники исчезают; создание первоначальной видимости надежного партнера. Мошенническая компания в начале проводит успешные сделки на небольшие суммы, далее происходит присваивание денег при большой сумме сделки; создание фиктивного предприятия, которое нигде не зарегистрировано. Директор использует паспорт на чужое имя, а счет в банке открыт за небольшую взятку; создание совместного предприятия. Совместное предприятие регистрирует отечественная сторона и вкладывает в него деньги за свою долю уставного фонда. Иностранная сторона предлагает сформировать свою долю уставного фонда за счет полученной прибыли от намеченной к осуществлению торговой сделки. Деньги, составляющие долю уставного фонда отечественной стороны, вместе с кредитными средствами перечисляются за границу иностранной стороне для реализации проекта, где они благополучно исчезают; совместная деятельность с распределением доходов пополам. Два предприятия договариваются о ведении совместной деятельности. Одна из сторон обязуется предоставить деньги, а другая сторона — провести коммерческую операцию и получить доход. Заработанный доход после вычета расходов распределяется пополам. Коммерческая операция проведена, получен доход. Но сторона, совершившая коммерческую операцию, заявляет, что расходы оказались значительно выше запланированных и выясняется, что и делить-то особенно нечего. Партнер же заплатил комиссионные посреднику, которого он сам и учредил, больше заплатил за транспорт и взял с транспортной организации посреднические проценты. Взятки таможне, санэпидемстанции и другим аналогичным организациям всегда производятся в наличной форме и проконтролировать их величину чрезвычайно трудно. Существует еще множество других способов завысить затраты; сговор продавца и покупателя, в случае если выполняются посреднические операции. К посреднику обращается компания с просьбой помочь купить определенный товар. Причем купить товар компания согласна по высокой цене. «Совершенно случайно» через несколько дней к посреднику обращается клиент, который может продать запрашиваемый товар, но весьма недешево. При этом он требует залог и уплаты значительной неустойки в случае отказа от получения товара. Посредник предварительно бежит к покупателю, заключает с ним договор с аналогичным размером неустойки (но без залога), а затем подписывает контракт с поставщиком и предоставляет залог. Когда посредник привозит товар покупателю, то компания-покупатель оказывается «пустышкой» без уставного фонда и с липовой печатью, а ее офис арендован на подставных лиц. Посредник остается с товаром, купленным по баснословной цене, и несет неизбежные убытки, в то время как продавец и «покупатель» делят полученный доход; мошенничество с передачей товара на консигнацию. Компания-мошенник передает слаболиквидный товар для реализации на условиях консигнации другому предприятию или частному предпринимателю. Оговаривается конкретный срок, на который товар передается для продажи. В договор также вводится пункт, что за невозврат товара или его стоимости после истечения срока консигнации или невозврат стоимости утраченного или поврежденного товара в трехдневный срок комиссионер дополнительно уплачивает неустойку в размере __% стоимости невозвращенного товара за каждый день просрочки. После подписания такого договора и передачи товара на консигнацию комитент исчезает. Если товар комиссионером не продан, то к моменту окончания действия договора комитента-мошенника практически невозможно найти. Он появляется снова лишь через два-три месяца после окончания срока консигнации с требованием вернуть товар и уплатить неустойку в соответствии с изложенным выше пунктом договора. Такая неустойка может достигать десятикратной стоимости товара; оплата таможенного сбора за чужой счет. Компании предлагается уплатить таможенный сбор, составляющий значительную часть стоимости импортируемого товара, в обмен на долю в прибыли от реализации этого товара. Компания оплачивает таможенную пошлину и через некоторое время ее работники направляются на таможню получать товар. Однако оказывается, что за счет оплаченной таможенной пошлины через границу пропущен товар по очень похожему контракту. Естественно, что этот контракт также готовили аферисты. В результате их товар прошел без таможенного сбора, а у компании — масса проблем; создание якобы дочерней иностранной компании. Мошенники могут выступать от имени дочернего предприятия известной зарубежной компании. Для этого достаточно выдумать громкое имя и зарегистрировать под этим именем компанию. После официальной регистрации компании мошенники фабрикуют документы, свидетельствующие об их родственных отношениях со знаменитой компании и что последняя выступает гарантом их операций; «нигерийские письма». Первыми этот метод освоили нигерийцы, вследствие чего этот метод имеет полное право носить такое название. Например, в поступившем на имя процветающей отечественной компании письме отмечается, что отправители письма имеют тесные связи с правительственными кругами и вследствие этого могут распоряжаться крупными суммами с государственных счетов, полученными в результате завышения контрактных сумм. Теперь эти деньги нужно каким-то образом обналичить. В связи с этим авторы письма и обращаются с просьбой помочь, обещая процент от обналиченной суммы. Якобы для перевода денежных средств предлагается предоставить «подателям письма» свои банковские реквизиты, официальные бланки с соответствующими печатями и подписями. После получения соответствующих документов деньги не зачисляются, а, наоборот, снимаются со счета наивного клиента;Расскажите о формах мошенничества в банковской сфере?« Ответ: Некоторые формы мошенничества в банковской сфере: мошеннические операции с кредитами (выдача фиктивных кредитов, подделка документов при получении кредитов, получение невозвратных кредитов и т.д.); мошеннические операции с платежными картами (отдельный материал); мошеннические операции с векселями (выдача неверно оформленных векселей, «зеркальные векселя» и т.д.); прокрутка денег в банке для получения процентов; мошеннические операции при расчетно-кассовом обслуживании (поддельные купюры, обман при расчете, неверный расчет курса, хищение денег, обман малограмотных клиентов и т.д.); мошеннические операции со счетом клиента (списание средств со счета, использование счета для перевода денег, отнесение собственных расходов на счета клиентов, манипулирование со счетом клиента и т.д.) сговор сотрудника банка с другим банком (переадресация при получении кредита, по обслуживанию и т.д.) Какие растровые признаки опасности мошенничества? Ответ: Некоторые признаки опасности во внешнем мошенничестве: отсутствие оригиналов документов (например, копии платежных документов, переданных по факсу); очень выгодные условия сделки; стремление ускорить сделку; стремление оговорить ряд договоренностей устно; требование большой предоплаты; диапазон услуг, которые предлагает партнер, слишком широк. Средние фирмы, как правило, специализируются на одном, двух, максимум трех направлениях деятельности. По десяткам направлений работают только огромные холдинги; представление информации по телефону без материальных документов; компания базируется ином регионе. Что желательно проверять при заключении договора с целью защититься от мошенничества? Ответ: Проверочные мероприятия при совершении договорных отношений, направленные на снижение вероятности внешнего мошенничества: в договорах купли-продажи четко указывать штрафы и пени, выплачиваемые в случае срыва договоренностей; знакомиться с уставом предприятия-партнера. Установить имеет ли оно право заниматься деятельностью, предусмотренной в договоре. Уточнить, имеет ли право его директор заключать договор без согласования с вышестоящим руководством. Если партнер ссылается на солидных учредителей, убедиться, что они указаны в учредительном договоре его фирмы. Желательно ознакомиться с балансом предприятия-партнера; проверить паспорт и полномочия лица, подписывающего договор; проверить соответствие названия предприятия-партнера, указанного в тексте договора (ИНН, ОГРН и т.д.) с названием на других документах, печатях; проверить отсутствие в тексте договора ссылок на обязательства других юридических и физических лиц, кроме подписавших договор. Необходимо быть особенно внимательным в тех случаях, когда договор заключается от имени известной фирмы, а деньги направляются в адрес другого предприятия (даже если последнее называет себя дочерней структурой или региональным представителем известной фирмы); если предприятие-партнер предоставляет поручительство (гарантию) другого предприятия или организации, проверить состоятельность поручителя (гаранта) и убедиться, что он действительно выдал эту гарантию; проверить соответствие фактического количества и качества поставляемых товаров, а также объемов выполненных работ с цифрами, указанными в счетах-фактурах, в актах приемки-сдачи работ и в накладных и других документах; все условия оговаривать письменно, а не устно. Какие можете дать рекомендации по защите от внешнего мошенничества? Ответ: Некоторые возможные действия по предупреждению внешнего мошенничества: не спешите расставаться с собственными деньгами. Стремитесь оплачивать товар только после его поставки вам. В крайнем случае, выставляйте аккредитив с выгодными для вас условиями его раскрытия (после поставки товара). Вместе с тем существует вероятность подделки документов, необходимых для раскрытия аккредитива; если вы провели с новым партнером одну-две небольшие сделки, не считайте, что обязательно будет удачной и третья, крупная сделка. Особенно в случае, если при совершении крупной сделки вашими деньгами будет распоряжаться партнер; страхование имущества и ответственности; проверка своей компании под видом потенциальных клиентов (диверсионный метод анализа); при заключении договора о совместной деятельности предусмотрите ваше обязательное участие во всех основных операциях по совместной деятельности, ваш жесткий контроль за расходованием средств и распределением доходов; в договоре четко оговаривайте свои экономические интересы. Если контракт не будет выполнен, по условиям договора стремитесь получить максимальную компенсацию; поступайте осторожно, если вам будут предлагать чрезвычайно выгодные условия договора; при заключении договоров на покупку товара и его продажу контролируйте оговариваемые размеры получаемых и выплачиваемых штрафных санкций в случае срыва договоров; обязательно ознакомьтесь с уставом предприятия-партнера. Выясните, имеет ли предприятие право заниматься предусмотренной договором деятельностью. Уточните, имеет ли право директор заключать с вами договор без согласования с вышестоящим руководством. Если партнер ссылается на солидных учредителей, проверьте это в учредительном договоре. Очень полезно также ознакомиться с балансом предприятия-партнера; проверьте паспорт и полномочия лица, подписывающего с вами договор, а также совпадение названия предприятия-партнера в тексте договора, в других документах и на печати; в тексте договора должны отсутствовать ссылки на обязательства других юридических и физических лиц, кроме подписавших договор. Необходимо быть особенно внимательным в случае, если договор заключается от имени известной компании, а деньги направляются в адрес другого предприятия (даже если последнее называет себя дочерней структурой или региональным представителем известной компании); проверяйте предоставляемые залоги на предмет их возможного многократного перезакладывания; при предоставлении вам поручительств (гарантий) других предприятий или организаций проверьте состоятельность поручителя (гаранта) и выясните, давал ли он вообще предоставленную вам гарантию; в счетах-фактурах, в актах приемки-сдачи работ и в накладных всегда проверяйте соответствие указанного в документах и фактического количества и качества поставляемых товаров, а также объемов выполненных работ и услуг; контролируйте своих работников, не создавайте им условий, когда они могут «перепродаться» другой компании.

Отзывы

Ахмеджонов Бахтиёр Рустамович
Enter Engineering Pte. Ltd., руководитель аппарата генерального директора
Организация, подача, интерактивность — все на высшем уровне!

Курс: HR-директор: система управления персоналом в организации

Кашбиева Динара Ильдусовна
ПОЛИМЕР ПУЛИНГ ГРУПП, менеджер по персоналу (и.о. руководителя отдела персонала)
Замечательный курс обучения. Прокачка мозгов. Доступная, емкая информация от преподавателей. Надеюсь на дальнейшее сотрудничество! До скорой встречи! Благодарю за полученные знания!

Курс: HR-директор: система управления персоналом в организации

Толстякова Саргылана Анатольевна
РИК Плюс, руководитель департамента управления персоналом
Очень интересно рассказали и объяснили по кейсам вопросы по управлению персоналом, а именно по подбору и адаптации персонала, также какие могут быть примеры из программ мотивации персонала.

Курс: HR-директор: система управления персоналом в организации

Мацухов Руслан Хусенович
ООО ОБИ, руководитель службы безопасности
Хочу выразить огромную благодарность Вячеславу Вячеславовичу за профессиональную подачу материала.

Курс: Руководитель службы безопасности (2 модуль)

Логинов Сергей Николаевич
СПАО Ингострах, ведущий специалист
Курс наполнен теоретической составляющей, исчерпывающим объемом необходимой нормативной базы, удобная форма обучения, включающая и сочетающая лекционный материал, а также возможность обсудить изложенный курс с преподавателем и обучающимися.

Курс: Руководитель службы безопасности (1 модуль)

Полянский Андрей Александрович
СПАО Ингострах, начальник отдела снабжения
Молодцы!

Курс: Руководитель службы безопасности (1 модуль)

Мацухов Руслан Хусенович
ОБИ ФЦ, руководитель безопасности и управления рисками
Вячеслав Вячеславович — профессионал с Большой Буквы. Всё было понятно, очень доступным языком

Курс: Руководитель службы безопасности (1 модуль)

Изюмская Анна Владимировна
Калинов Родник, руководитель персонала
Благодарю. Наполнение программы соответствует заявленной. Много реальных кейсов. Очень порадовала подача информации и сами спикеры. Организация и помещение комфортные.

Курс: HR-директор: система управления персоналом в организации

Качанова Инга Рудолльфовна
ООО БАЗИС Плюс, руководитель отдела персонала
Ещё раз готова поблагодарить Московскую Бизнес Школу за работу. Максимально комфортная атмосфера, много систематизированной информации, высококвалифицированный состав преподавателей.

Курс: HR-директор: система управления персоналом в организации

Гавриленко Алексей Владимирович
ООО ОНЛАЙН КАРДС, специалист по ПИР
Спасибо за комфорт, профессионализм и удобство, предоставленные МБШ в процессе повышения квалификации!

Курс: Защита от мошенничества. Управление дебиторской задолженностью и урегулирование конфликтов интересов в договорной работе

Добавить отзыв

Принимаю условия Пользовательского соглашения

Спасибо, ваш отзыв направлен на модерацию

Пользовательское соглашение

  • Я (Клиент), настоящим выражаю свое согласие на обработку моих персональных данных, полученных от меня в ходе отправления заявки на получение информационно-консультационных услуг/приема на обучение по образовательным программам.
  • Я подтверждаю, что указанный мною номер мобильного телефона, является моим личным номером телефона, выделенным мне оператором сотовой связи, и готов нести ответственность за негативные последствия, вызванные указанием мной номера мобильного телефона, принадлежащего другому лицу.

    В Группу компаний входят:

    • ООО «МБШ», юридический адрес: 119334, г. Москва, Ленинский проспект, д. 38 А.
    • АНО ДПО «МОСКОВСКАЯ БИЗНЕС ШКОЛА», юридический адрес: 119334, г. Москва, Ленинский проспект, д. 38 А.
  • В рамках настоящего соглашения под «персональными данными» понимаются: персональные данные, которые клиент предоставляет о себе осознанно и самостоятельно при оформлении заявки на обучение/получение информационно консультационных услуг на сайтах компании: www.mbschool.ru и www.mba.ru , а так же на поддоменах в адресных зонах www.mbschool.ru и www.mba.ru (а именно: фамилия, имя, отчество (если есть), год рождения, уровень образования клиента, выбранная программа обучения, город проживания, номер мобильного телефона, адрес электронной почты).
  • Клиент — физическое лицо (лицо, являющееся законным представителем физического лица, не достигшего 18 лет, в соответствии с законодательством РФ), заполнившее Заявку на обучение/на получение информационно-консультационных услуг на Сайта Группы компаний, выразившее таким образом своё намерение воспользоваться образовательными/информационно-консультационными услугами Группы компаний.
  • Группа компаний в общем случае не проверяет достоверность персональных данных, предоставляемых Клиентом, и не осуществляет контроль за его дееспособностью. Однако Группа компаний исходит из того, что Клиент предоставляет достоверную и достаточную персональную информацию по вопросам, предлагаемым в форме регистрации (форма Заявки), и поддерживает эту информацию в актуальном состоянии.
  • Группа компаний собирает и хранит только те персональные данные, которые необходимы для проведения приема на обучение/получения информационно-консультационных услуг у Группы компаний и организации оказания образовательных/информационно-консультационных услуг (исполнения соглашений и договоров с Клиентом).
  • Собираемая информация позволяет отправлять на адрес электронной почты и номер мобильного телефона, указанные Клиентом, информацию в виде электронных писем и СМС-сообщений по каналам связи (СМС-рассылка) в целях проведения приема для оказания Группой компаний услуг, организации образовательного процесса, отправки важных уведомлений, таких как изменение положений, условий и политики Группы компаний. Так же такая информация необходима для оперативного информирования Клиента обо всех изменениях условий оказания информационно-консультационных услуг и организации образовательного и процесса приема на обучение в Группу компаний, информирования Клиента о предстоящих акциях, ближайших событиях и других мероприятиях Группы компаний, путем направления ему рассылок и информационных сообщений, а также в целях идентификации стороны в рамках соглашений и договоров с Группой компаний, связи с Клиентом, в том числе направления уведомлений, запросов и информации, касающихся оказания услуг, а также обработки запросов и заявок от Клиента.
  • При работе с персональными данными Клиента Группа компаний руководствуется Федеральным законом РФ № 152-ФЗ от 27 июля 2006г. «О персональных данных».
  • Я проинформирован, что в любое время могу отказаться от получения на адрес электронной почты информации путем направления электронного письма на адрес: mbs@mbschool.ru. Также отказаться от получения информации на адрес электронной почты возможно в любое время, кликнув по ссылке «Отписаться» внизу письма.
  • Я проинформирован, что в любое время могу отказаться от получения на указанный мной номер мобильного телефона СМС-рассылки, путем направления электронного письма на адрес: mbs@mbschool.ru
  • Группа компаний принимает необходимые и достаточные организационные и технические меры для защиты персональных данных Клиента от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.
  • К настоящему соглашению и отношениям между Клиентом и Группой компаний, возникающим в связи с применением соглашения, подлежит применению право Российской Федерации.
  • Настоящим соглашением подтверждаю, что я старше 18 лет и принимаю условия, обозначенные текстом настоящего соглашения, а также даю свое полное добровольное согласие на обработку своих персональных данных.
  • Настоящее соглашение, регулирующее отношения Клиента и Группы компаний действует на протяжении всего периода предоставления Услуг и доступа Клиента к персонализированным сервисам Сайта Группы компаний.

ООО «МБШ» юридический адрес: 119334, г. Москва, Ленинский проспект, д. 38 А., этаж 2, пом. ХХХIII, ком. 11.

Адрес электронной почты: mbs@mbschool.ru

Тел: 8 800 333 86 68, 7 (495) 646-75-17

Дата последнего обновления: 28.11.2019 г.

Пользовательское соглашение

Согласие на получение рекламной и информационной рассылки

  1. Настоящим согласием Пользователь, действуя в своём интересе, даёт согласие на получение рекламных и информационных сообщений АНО ДПО «Московская бизнес школа» (далее — "Оператор"),касающихся предоставления образовательных и информационно — консультационных услуг.
  2. Предоставлением настоящего согласия является проставление галочки/отметки в окне «Согласен на получение рекламных и информационных сообщений» на сайте Оператора.
  3. Предоставляя настоящее согласие, Пользователь предоставляет право Оператору и (или) партнёру Оператора на отправку ему рекламных и информационных сообщений посредством направления Push, SMS и Email — рассылки, а также на обработку персональных данных (ФИО, адреса электронной почты, номера телефона) с целью направления информации, указанной в настоящем пункте.
  4. Настоящее согласие является бессрочным.
  5. Одновременно уведомляем о возможности немедленно прекратить рассылку в случае получения от Вас такого требования.
  6. Согласие может быть отозвано Пользователем в любой момент путём направления запроса по контактным данным Оператора или путём отказа от рассылки с использованием инструкций, содержащихся в тексте рассылки.