Алексей Швецкий – Корпоративная безопасность, как бизнес-процесс (страница 1)

Алексей Швецкий

Корпоративная безопасность, как бизнес-процесс

От автора

Я не вполне обычный "безопасник". В промежутке между работой в государственной и коммерческой службах безопасности, мне довелось в течение почти пяти лет заниматься закупочной деятельностью, складской и транспортной логистикой (в том числе международной).

Проведение тендеров, взаимодействие (не всегда бесконфликтное) с контрагентами подарили уникальный опыт, а главное, совершенно иной взгляд и понимание безопасности, не с позиции уголовного кодекса, а с точки зрения влияния на бизнес и его результаты.

С тех пор рассматриваю «безопасность», как бизнес-функцию, основная задача которой заключается в позитивном влиянии EBITDA1, посредством сокращения потерь от фрода и неэффективности. И, конечно, сама служба безопасности (СБ) должна иметь положительный P&L2! В этом случае, обеспечение безопасности превращается в бизнес-процесс, где роли распределены, операции регламентированы и увязаны с активностями других функций (дирекций).

В результате «безопасность» перестает жить для себя и сама по себе, а превращается в часть производственного процесса Компании.

В настоящем издании содержится результат эволюции идей, изложенных автором ранее в книге «Как обеспечить безопасность бизнеса, если Вам лень этим заниматься», но с учетом специфики предприятий, непосредственно управляемых отцами-основателями, частично раскрытой в другой – «Бизнес по понятиям или как выжить наемнику в частной компании». Учитывая, что не все читатели знакомы с ними, некоторые тезисы и примеры будут повторяться для сохранения связности повествования.

Книга может быть полезна, как действующим сотрудникам или руководителям подразделений безопасности в качестве пособия, так и лидерам бизнеса для понимания потенциала и путей повышения эффективности использования, подчиненных СБ.

Что такое корпоративная безопасность

Wikipedia определяет «безопасность», как состояние защищенности…. Но иногда, угрозы бывают незримыми – неэффективные затраты, утечки чувствительных данных могут происходить дни, месяцы и годы до того, как будут выявлены.

То есть, мы можем пребывать в уверенности, что защищены, но на самом деле это будет не так. Именно поэтому очень важно разделить понятия «ощущение» и «состояние» защищенности.

В отличие от ощущения, состояние защищенности материально, его можно создать, а результаты измерить.

В общем случае, служба безопасности должна оказывать влияние на благополучие Компании, сокращая ее затраты, путем возмещения ущерба, предотвращения потерь, а также неэффективных расходов.

Последнее, особенно важно. Большинство «безопасников», по привычке продолжают мыслить и классифицировать происшествия по статьям уголовного кодекса: «Кража», «Присвоение и растрата», «Коммерческий подкуп» и т.д. Однако, если отталкиваться не от УК РФ, а от факта наступления потерь, оказывается, что из поля зрения СБ выпадают до 80%, заслуживающих внимания историй. Случается, что все участники процесса добросовестно выполнили свои обязанности, а убыток возник. Причем, умысла на нанесение вреда предприятию ни у кого из них не было. При детальном изучении оказалось, что какая-то операция не была выполнена, так как отсутствовало лицо, которому она была бы поручена, либо риск потерь в этой точке процесса не рассматривался.

Получается, что безопасность – это не только организация постов охраны, внедрение систем видеонаблюдения, управления доступом и установка «антивирусов» на рабочие станции, но и эффективный инструмент управления рисками, позволяющий выявлять системные проблемы и уязвимости в бизнес-процессах.

Обобщив, можно выделить четыре основных причины потерь:

Умышленные действия сотрудников или третьих лиц, противоречащие требованиям Законодательства или внутренних нормативных актов Компании (только для сотрудников), в результате которых причинен ущерб (в данном случае нам не важно был ли направлен умысел на личное обогащение или нет, рассматриваем только угрозы предприятию).

Уязвимость бизнес-процесса, когда (как описано в примере выше) все участники в полном объеме исполнили свои функции, однако, потери возникли, так как защитные мероприятия оказались недостаточными (неэффективными), либо не были предусмотрены вовсе.

Кросс-функциональная несогласованность – когда условия начала следующего процесса не совпадают с финальными параметрами предыдущего, участники обоих в полном объеме исполнили свои функции, а на стыке полномочий возникла «серая зона», где и случились потери.

Недостатки планирования – когда убытки возникают там, где такая возможность не предполагалась. Чаще всего, кейсы такого типа фиксируются при маркетинговых активностях или запуске новых продуктов, когда продуктовая команда не проработала в достаточной степени вопросы безопасности.

Классические «безопасники», опираясь на свой опыт работы в правоохранительных органах рассматривают только первую причину, игнорируя остальные, так как считают, что раз виновное лицо отсутствует, то проблема лежит вне зоны их ответственности.

Чтобы охватить все источники возникновения потерь и убытков, процесс обеспечения безопасности можно разбить на несколько простых этапов:

Нормотворчество – разработка (актуализация) внутренних нормативных документов Компании, регламентирующих вопросы безопасности.

Внедрение (совершенствование) контролей безопасности в наиболее рисковые операционные процессы.

Профилактические мероприятия – обучение персонала элементарным правилам информационной безопасности, порядку обращения со сведениями, составляющими коммерческую тайну, персональными данными, товарно-материальными ценностями.

Мониторинг контрольной среды – систематический контроль измеряемых значений и оценка соблюдения участниками бизнес-процессов требований ВНД), сравнение их с эталонными значениями (нормативами или ВНД).

Выявление и отработка инцидентов безопасности – регистрация отклонения от нормального состояния какого-либо операционного процесса (нарушение требований Регламента, Положения, Должностной инструкции, расхождение данных учета и фактического наличия товарно-материальных средств и т.п.).

Идентификация риска – имеются ли в инциденте признаки системных проблем, то есть существует ли вероятность его повторения в другом месте с другим составом участников.

Оценка риска – цена (сколько уже потеряли, сколько можем потерять в будущем), степень влияния на непрерывность/устойчивость бизнеса, вероятность реализации (для потенциальных рисков), предварительная стоимость мероприятий по закрытию (снижению) риска.

Выработка стратегии управления риском – избежание/передача/снижение/принятие.

Реализация митигирующих мероприятий и/или защитных мер.

Постконтроль – мониторинг эффективности реализованных митигирующих мероприятий, выявление возможных признаков повторения риска.

Аналитика – изучение выявленных рисков с точки зрения быстроты их выявления и идентификации, выработка и реализация мер по улучшению качества мониторинга инцидентов.

Оценка работы подразделения безопасности и его сотрудников.

Переход к п.1.

Как мы видим, деятельность по обеспечению безопасности циклична и при правильной организации может представлять собой самостоятельный бизнес-процесс.

Однако, чтобы эта штука заработала необходимо заручиться поддержкой руководства Компании для выполнения нескольких условий:

Стратегическое планирование. Безопасность должна быть включена в общую стратегию развития компании и обеспечена необходимыми ресурсами для совершенствования собственных процессов и контролей.

Интеграция с другими функциями. Контроли безопасности необходимо встроить в бизнес-процессы других дирекций.

Автоматизация процессов. Мониторинг больших массивов данных с генерацией оповещений об отклонениях и автоматическая блокировка нежелательных или опасных действий (как пользователей информационных ресурсов, так и финансовых операций).

Регулярный аудит и улучшение. Постоянный анализ текущих мер безопасности и их совершенствование помогают поддерживать высокий уровень защиты и адаптироваться к новым угрозам.

И, конечно, для того, чтобы ощущение защищенности стало состоянием, требуется определить подразделению безопасности значимые для бизнес-заказчика цели, оценочные метрики и инструменты для их измерения.

Предпосылки

Любой человек в процессе своего роста и развития проходит несколько этапов: детство, юность, зрелость и старость и для каждого из них необходим собственный подход к обучению, воспитанию и управлению.

Маленькому ребенку можно сказать «сделай то-то», и он сделает. Авторитета родителя или воспитателя будет достаточно. Подростку уже следует объяснить зачем это делать и почему именно на него возложена такая задача. Взрослый совершает требуемые действия осознанно и самостоятельно.

Похожие метаморфозы происходят и с Компаниями.

На «детском» этапе, всем управляет и принимает все решения собственник лично. Он готов воспринимать и реализовывать новые идеи, но все еще в ручном режиме, точечно и бессистемно. Горизонт планирования не превышает нескольких месяцев.

«Подростковый» этап характеризуется ростом масштаба бизнеса, физической неспособностью собственника уследить за всеми процессами, при сохраняющихся попытках всем управлять и во все вникать лично. Иногда принимаются на работу опытные управленцы, но полномочия им не делегируются, что не позволяет изменить ситуацию. Горизонт планирования 1-3 года, но текущие (месячные, квартальные) планы со стратегическими целями, как правило, не увязаны.