Алексей Швецкий – Как обеспечить безопасность предприятия, если вам лень этим заниматься (страница 2)
Для многих современных управленцев словосочетание «корпоративная безопасность» пахнет нафталином, ассоциируется с ничем не обоснованными запретами и ограничениями, неудобными процедурами.
В этих условиях многие работодатели не видят ценности в подразделениях безопасности, выделяя больше внимания и ресурсов внутреннему аудиту, юристам, аналитикам по управлению рисками.
Пора эволюционировать! Современный мир технологичен и процесс обеспечения безопасности также должен превратиться в технологию, когда все действия разбиты на операции, которые в свою очередь выстроены в последовательность и взаимоувязаны. Где алгоритм принятия стандартных решений определен, неизменен и не зависит от исполнителей, а механизм работы с исключениями выработан. Где результат работы СБ измеряем и влияет на успех всей организации.
В настоящей главе рассматривается только технологический аспект обеспечения безопасности, а более детально с терминами, определениями и метриками мы познакомимся в следующих публикациях.
Итак, цель любой коммерческой структуры – извлечение прибыли. Основной показатель эффективности компании – EBITDA. Роль безопасности – сокращение ее расходной части, путем уменьшения потерь от противоправных действий и неэффективности.
Поэтому, гоните своих «безопасников» прочь, если они не смогут объяснить:
– Какова их роль в успехе бизнеса предприятия?
– Как измерить результат их работы?
– Как их работа влияет на EBITDA?
Для тех, что останутся, применяем Теорию решения изобретательских задач (ТРИЗ)2.
По мнению автора метода, вначале необходимо вообразить идеальный результат, а затем постараться устранить препятствия, мешающие его достижению.
Wikipedia поясняет, что всё должно остаться так, как было, но либо должно исчезнуть вредное, ненужное качество, либо появиться новое, полезное качество. Основная идея в том, чтобы избегать существенных (и дорогих) изменений и рассматривать в первую очередь простейшие решения.
Включив креатив на полную мощность, формулируем задачу:
… или, в контексте Теории – моделируем условия, которые приведут к желаемому результату без управленческого влияния на процесс (либо при минимальном участии руководителя).
Определяемся с терминами и инструментами
– классифицируем виды ущерба (выявленный, предотвращенный, возмещенный);
– устанавливаем порядок расчета размера убытков и требования к документам, подтверждающим суммы и роль подразделения безопасности в сохранении активов;
– вводим ключевой показатель эффективности СБ (возмещение + предотвращение).
Формулируем задачи СБ
– выявление ущерба в результате противоправной деятельности или неэффективности;
– возмещение уже нанесенного ущерба;
– предотвращение возможных потерь и убытков.
Устанавливаем правила
– стандартизируем и унифицируем контрольные процедуры;
– назначаем контрольное значение ключевого показателя эффективности;
– увязываем систему мотивации с результатами работы.
Формируем конкурентную среду
– регулярно предъявляем сотрудникам СБ их текущее ранжирование;
– сравниваем показатели подразделений и работников год к году;
– сравниваем подразделения и сотрудников между собой;
– стимулируем лидеров, помогаем аутсайдерам.
Подводим итоги
В результате получаем объективную и понятную систему оценки каждого сотрудника, каждого подразделения. Регулярная обратная связь с отражением позиции в ранжировании, стимулирует работников к активным действиям (соревновательный азарт) и позволяет своевременно выявить отстающих, принять к ним корректирующие меры.
В случае организационно-штатных изменений, оптимизации или сокращения численности персонала, потенциальные участники таких мероприятий уже собраны внизу списка. Почему покидают компанию именно они не вызывает вопросов ни у будущих бывших коллег, ни у остающихся в строю.
Подразделение безопасности становится саморегулирующейся структурой, его руководителю уже нет необходимости непосредственно контролировать рабочий процесс, включая соблюдение подчиненными распорядка дня.
Поскольку правила игры (порядок расчета и подтверждения размера выявленного, возмещённого и предотвращенного убытков) определены и согласованы с бизнес-заказчиком, достоверность отчетности СБ не вызывает вопросов и сомнений.
Сравнивая затраты на безопасность с отдачей СБ (по ключевому показателю), можно оценить их эффективность и целесообразность. Одновременно, это позволяет руководителю подразделения безопасности выходить с инициативами по введению дополнительных ставок, увеличению фонда оплаты труда или премированию отдельных сотрудников.
Измерения и оценка эффективности работы службы безопасности
Служба безопасности – это не вещь в себе, а один из инструментов, используемых бизнесом для достижения своих целей. Поэтому, результаты СБ интересны бизнес-заказчику лишь в той степени, в которой они влияют на выполнение его собственных KPI, как правило, имеющих денежное выражение.
Исходя из этого понимания, необходимо организовывать работу, формировать и представлять ее итоги.
Стандартизация и унификация
Компании холдингового типа в процессе своего развития, поглощают и интегрируют с свою структуру другие предприятия, зачастую сохраняя или незначительно изменяя их внутреннюю иерархию.
В результате появляются несколько локальных служб безопасности, каждая из которых по-своему строит работу, представляет и предоставляет ее результаты. В таких условиях затруднительно оценить эффективность их деятельности или сравнить между собой.
Наиболее правильным путем представляется стандартизация и унификация работы всех структурных подразделений, для чего разрабатывается единые (на всю группу компаний) локальные нормативные документы, например, такие как:
Политика обеспечения безопасности (можно общую, можно раздробить на: экономической, физической, информационной).
Процедура проведения корпоративных расследований (основания для инициации, содержание, результаты, права и обязанности участников).
Регламент расчета и классификации убытков для целей корпоративных расследований (совместно с финансистами для обеспечения корректности и достоверности отчетов).
Определяется основной формат активности – корпоративное расследование, а также требования к нему.
Создается База данных корпоративных расследований (БДКР), куда заносятся все проводимые и завершенные расследования, а также сведения, необходимые для контроля и анализа (период проведения, кто проводил, кто фигурант, где произошло, выводы и рекомендации, реализация корректирующих мер).
Устанавливается требование о занесении в БДКР всей первичной информации, не зависимо от источника ее получения и достоверности, а также результатов проверки. То есть внедряются элементы инцидент-менеджмента.
Деятельность подразделений, занимающихся обеспечением физической охраны и информационной безопасности так же приводится к единым нормативным и организационным требованиям.
В чем измерять?
Служба безопасности – сервисная функция, т.е. вспомогательная, помогающая бизнесу… Казалось бы, если коммерсанты довольны, значит, все хорошо. И руководители подразделений безопасности частенько в качестве подтверждения собственной эффективности предъявляют положительную обратную связь от местных бизнес-лидеров, но последние порой просто не могут ни сформулировать задачи для функции безопасности, ни объективно оценить итоги их работы.
Более того, на практике, самые лучшие отзывы получают «безопасники», подменяющие собой коммерсантов на отдельных проблемных участках («решалы»), но при этом, глубоко и искренне не понимающие содержание бизнес-процессов и потому, не препятствующие неправомерному обогащению недобросовестных сотрудников и контрагентов.
Тем не менее, служба безопасности может и должна оказывать влияние на EBITDA, сокращая ее затратную часть, путем возмещения ущерба, предотвращения потерь, а также неэффективных расходов.
Поскольку EBITDA измеряется в деньгах, именно в них мы будем определять цели СБ и измерять эффективность ее работы.
Куда целиться?
Обычная, принятая в большинстве компаний классификация, предусматривает три вида убытков: выявленный, возмещенный и предотвращенный.
Исходя из нее, верхнеуровневые цели СБ можно сформулировать, как:
– Выявление ущерба, нанесенного в результате противоправной деятельности, неэффективности или уязвимости бизнес-процессов;
– Возмещение уже нанесенного ущерба;
– Предотвращение возможных потерь (включая упущенную выгоду и сохранение выручки).