Алексей Швецкий – Корпоративная безопасность, как бизнес-процесс (страница 4)

Если повезло и достигнут консенсус о необходимости выстраивания системной работы и современной бизнес-ориентированной функции безопасности, то видение образа и задач СБ, может выглядеть так…

Цель нашей Компании

– извлечение прибыли. Основной показатель ее эффективности EBITDA. Чем он больше, тем лучше. Значит, задача всех структурных подразделений компании, включая Безопасность, этому способствовать.

Роль Дирекции Безопасности

– сокращение расходов, влияющих на EBITDA, путем уменьшения потерь от противоправных посягательств и неэффективности.

Тогда, применительно к Дирекции безопасности:

Миссия

– мы являемся подразделением, обеспечивающим физическую и экономическую и информационную безопасность коммерческой деятельности Компании (акционеров, ТОП-менеджмента, дочерних и зависимых обществ).

Наша цель

– улучшение финансовых результатов Компании через сокращение потерь и неэффективных расходов, возникающих в следствие противоправных действий и/или несовершенства бизнес-процессов.

Наш продукт – технология по обработке, анализу и решению инцидентов безопасности, обеспечивающая возмещение убытков и, создающая условия для их предотвращения.

Видение будущего в горизонте 3-х лет

все подразделения безопасности перешли на единый формат активностей, гарантирующий прозрачность и объективность показателей результативности, а также позволяющий оценить эффективность затрат за это направление.

сформирована единая база инцидентов безопасности, позволяющая выявлять риски, оценивать их с точки зрения влияния на бизнес и вероятности реализации.

на основе анализа накопленных знаний, сформирован реестр рисков, выработаны и реализуются мероприятия по их снижению.

Индикаторы здоровья

максимизация экономического эффекта от деятельности подразделений безопасности (позитивного влияния СБ на финансовые результаты Компании) и его рост год к году.

максимизация соотношения экономического эффекта от деятельности функции к затратам на обеспечение безопасности.

минимизация потерь Компании от противоправных действий сотрудников и третьих лиц, а также неэффективности бизнес-процессов и несовершенства, регламентирующих их локальных нормативных актов.

Ответив на вопросы философские, самое время перейти в практическую плоскость и ответить на вопрос «как?».

Стратегические цели дирекции безопасности, тактика их достижения и образ желаемого результата представляются следующим образом:

При этом, под инцидентами мы понимаем события (в том числе возможные), связанные с нарушением внутренних нормативных документов, и/или риском/фактом коррупции, внутреннего фрода, информация о котором поступила в подразделение безопасности, требующая уточнения в ходе проверки.

То есть, в качестве инцидента можно рассматривать не только уже случившееся событие, но и то, которое может произойти в будущем так как к этому имеются предпосылки.

В этом случае технология обеспечения безопасности в разрезе направлений защиты может быть сформулирована так:

Физическая безопасность (ФБ). Контроль внешнего (территория) и внутреннего (здания, офисы, производственные и технические объекты) периметров осуществляется посредством постов физической охраны и техническими средствами в круглосуточном режиме, координацию обеспечивает оперативный дежурный Компании, которому подчинены оперативные дежурные на объектах (оперативно-дежурная служба). В случае нарушений, они пресекаются (локально купируются), инцидент регистрируется на специальном ИТ-ресурсе где, в последующем отражается его статус и результат отработки. Сложные инциденты (с признаками системных рисков) передаются в подразделения экономической безопасности для проведения расследования.

Информационная безопасность (ИБ). Контроль внешнего информационного периметра и внутреннего трафика осуществляется посредством технических средств и постов мониторинга (SOC-Security Operations Center). В случае нарушений, они пресекаются автоматически, либо нежелательная активность блокируется вручную администраторами сети (локально купируются), инцидент регистрируется на специальном ИТ-ресурсе где, в последующем отражается его статус и результат отработки. Сложные инциденты (с признаками системных рисков) передаются в подразделения экономической безопасности для проведения расследования.

Экономическая безопасность (ЭБ) – ключевое направление деятельности Дирекции. Все инцидент безопасности регистрируется на специальном ИТ-ресурсе (Базе данных) где, в последующем отражается его статус и результат отработки. По инцидентам, имеющим признаки системных рисков (в т.ч. выявленных другими подразделениями), проводятся корпоративные расследования для установления причин и условий произошедшего, виновных лиц, выявления уязвимости в бизнес-процессах и выработки рекомендаций по их митигации.

Все расследования и их результаты заносятся в Базу данных. По мере накопления информации осуществляется ее анализ, формируется реестр рисков с привязкой к бизнес-процессам, стоимостной и вероятностной оценкой. По результатам разрабатывается и реализуется План митигирующих мероприятий с постконтролем эффективности внедренных корректирующих мер.

Или тоже самое в виде цикличной модели:

Организационно-штатная структура Дирекции безопасности формируется по линейно-территориальному принципу, когда в головном подразделении создаются Центры компетенций (ФБ, ЭБ, ИБ), организующие и координирующие работу профильных сотрудников в филиалах, производственных площадках и иных обособленных объектах по своим направлениям (линиям).

В результате получаем:

Учет, регистрацию и отработку абсолютно всех инцидентов безопасности4 по направлениям работы (ФБ, ИБ, ЭБ) и расследование наиболее сложных из них.

Корпоративные расследования, как единая унифицированная форма отработки сложных инцидентов безопасности и выработки предложений по внедрению корректирующих мер как в отношении виновных лиц, так и по изменению бизнес-процессов.

Накопление информации об инцидентах безопасности, их анализ, выявление системных рисков и уязвимостей в бизнес-процессах, выработка и реализация мер по их митигации.

Сквозное вертикальное функциональное управление по линиям работы (ФБ, ЭБ, ИБ).

Активности и контроли, вне процесса корпоративных расследовании, включая оценку контрагентов на риски взаимодействия, а также проверку кандидатов на работу и действующих сотрудников, рассматриваются как инструменты, направленные на поддержание установленных стандартов безопасности и выявление отклонений от их требований, которые в свою очередь становятся основаниями и поводами для расследований.

Сформированный таким (или иным, верным по вашему мнению) образом взгляд на концепцию обеспечения безопасности, представляем ее руководству Компании и/или акционерам. Для большей наглядности, целесообразно оформить его в виде слайдов. Получив одобрение и учтя замечания руководства, закрепляем предложенный подход в отдельном ВНД, то есть фиксируем образ результата и направление дальнейшего движения.

Оценка эффективности подразделения безопасности

В соответствии с предлагаемой концепцией, служба безопасности может и должна оказывать влияние на EBITDA, путем возмещения ущерба, предотвращения потерь, а также неэффективных расходов.

Поскольку EBITDA измеряется в деньгах, именно в них следует определять цели СБ и измерять эффективность ее работы.

Куда целиться

Обычная, принятая в большинстве компаний классификация, предусматривает три вида убытков: выявленный, возмещенный и предотвращенный.

Исходя из нее, верхнеуровневые цели Дирекции безопасности можно сформулировать, как:

Выявление ущерба, нанесенного в результате противоправной деятельности, неэффективности или уязвимости бизнес-процессов;

Возмещение уже нанесенного ущерба (убытка);

Предотвращение возможных потерь, включая упущенную выгоду и сохранение выручки.

С учетом специфики и сложившейся практики, показателям может быть присвоено количественное значение в абсолютных или относительных (сравнительных) величинах (деньги, %, соотношение год к году).

Желательно, чтобы все подразделения безопасности холдинга имели одинаковые цели. Если специфика дочерних обществ не позволяет этого, то как минимум, выраженные в одинаковых единицах измерения.

Как измерять

В результате проведения унификации и стандартизации, все подразделения безопасности подчинены единым требованиям по содержанию работы и ее учету, благодаря чему, мы имеем набор типовых показателей, рассчитанных по единым правилам. Теперь их можно сравнивать и анализировать.

При этом, важно учитывать некоторые особенности:

Выявленный ущерб (убыток) – потери, которые наступили фактически. Их очень легко посчитать и подтвердить (акт инвентаризации, справка об ущербе).

В части утрат материальных (физических) активов, этот показатель может служить косвенным критерием эффективности СБ, так как чем надежнее система безопасности, тем труднее совершить хищение. То есть, чем он меньше, тем лучше, особенно если наблюдается ниспадающая динамика год к году.

В части экономических правонарушений или неэффективных затрат, подобный анализ уже не работает, потому что такие потери не материальны и зачастую не очевидны, не отражены в бухгалтерский отчетности. Более того, для их обнаружения требуются значительные усилия и высочайшее профессиональное мастерство сотрудников СБ.