Алексей Швецкий – Корпоративная безопасность, как бизнес-процесс (страница 5)

При этом, если в качестве цели установить снижение показателя «выявленный ущерб» год к году, то возникает риск, что работники будут стремиться не регистрировать «дорогие» инциденты, чтобы не портить свою отчетность.

Аналогично с целевым показателем «коэффициент покрытия ущерба», как соотношения выявленного убытка к возмещенному. Он отлично работает применительно к контрольно-ревизионной деятельности, но при обеспечении безопасности договорного взаимодействия, наоборот, может принести вред, так как инциденты, возмещение по которым невозможно или маловероятно, по той же причине не будут попадать в отчетность Дирекции безопасности.

Таким образом, с целеполаганием в этой части необходимо действовать крайне осмотрительно. Для формирования полной и объективной картины, важно, чтобы данные о происшествиях и потерях были достоверны.

Цели в части «выявленного ущерба» можно устанавливать только сотрудникам, контролирующим сохранность материальных (физических) активов, а для остальных использовать его значения только для аналитики.

Возмещенный – активы, утраченные фактически, но, благодаря усилиям СБ возвращенные владельцу. Подсчет и подтверждение бухгалтерскими документами так же не вызывает трудностей.

В части утрат материальных активов, сравнение выявленного и возмещенного убытков формирует коэффициент покрытия потерь. Чаще используется в рознице или логистике. Считается, что, если он превышает 0,6 (из каждых 100 потерянных рублей, возмещено 60 и более), это хорошо.

Предотвращенный – активы, которые были бы неизбежно утрачены, но сохранены в результате активностей службы безопасности.

Последний – самый сложный в расчете и неоднозначный в восприятии показатель. Потери не наступили, поэтому, масштаб убытка с точностью определить нельзя. Тем более мы достоверно не знаем, какова вероятность наступления самого факта утраты материальных ценностей. Может быть этого бы никогда и не случилось. А если и случилось, было бы потеряно все или только часть?

То есть, не только величина расчетная, но и вероятность события с точностью не установлена.

При этом, при оценке масштаба предотвращенного убытка, СБ стремиться сделать расчет на основании самого негативного сценария, чтобы повысить ценность своей работы. Бизнес-функция, потери которой сохранены, напротив, исходит из нулевой вероятности события, либо считает по минимуму, не желая подтверждать недостатки в своих процессах и контролях. Расхождения между такими оценками могут составлять десятки миллионов рублей.

В дальнейшем, при попытках СБ предъявлять свои расчетные значения предотвращенного убытка, бизнес относится к ним с недоверием, как к виртуальным показателям, не имеющим отношения к реальности, что обесценивает и всю остальную отчетность функции безопасности.

По этой причине некоторые компании вовсе отказались от учета предотвращенного убытка, но этот путь ошибочен, так как теперь сотрудники безопасности ожидают, пока убыток станет выявленным, чтобы иметь возможность его возместить (теряется профилактика и предиктивность).

Решением видится согласование с ключевыми бизнес-функциями и финансовой службой порядка расчета предотвращенного убытка, то есть формирование единых, признаваемых всеми участниками процесса, правил. Как вариант, через призму бюджета компании или функции.

Например, предприятие несло затраты, которые были забюджетированы. Дирекция безопасности доказала, что их можно сократить или обнулить. Разница между запланированными расходами и фактическими составят БЮДЖЕТНУЮ ЭКОНОМИЮ – то есть деньги, которые неизбежно утрачены (израсходованы), но сохранены в результате активностей службы безопасности.

Или, наоборот, в связи с некими обстоятельствами, возникает потребность в новых расходах, их размер рассчитывается, а выделение финансирование согласовывается. Функция безопасности в пределах своих полномочий проводит работу, которая помогает сократить или исключить сверхбюджетные затраты. Возникает экономия.

Расчет предотвращенного убытка через БЮДЖЕТНУЮ ЭКОНОМИЮ позволяет с точностью до копейки определить размер сохраненных активов и подтвердить эти суммы бухгалтерскими документами, что повышает прозрачность и достоверность показателей СБ.

После того, как порядок классификации убытков и определения их размера определены и признаются, как достоверные и прозрачные, можно ввести показатель, отражающий эффективность работы функции безопасности.

Как оценивать

В качестве ключевой метрики эффективности СБ, предлагается использовать «Экономический эффект» (ЭЭ), определяемый, как сумма возмещенного и предотвращенного убытков/бюджетной экономии.

В дальнейшем, это показатель можно сопоставлять:

с затратами на безопасность

с выявленным убытком:

Введение единого и объективного показателя (ЭЭ), кроме того, позволяет провести ранжирование сотрудников внутри подразделений безопасности (накопительным итогом за год):

… или в моменте (по состоянию на текущий месяц), а также индивидуальный вклад каждого в результаты службы:

Расчет затрат компании на текущий месяц определяется как отношение усредненного годового ФОТ на 1 сотрудника к количеству месяцев в году, умноженное на порядковый номер текущего месяца: ФОТ1 / 12 х N, где N – порядковый номер месяца (январь -1, февраль-2,.. ноябрь-11).

Например, специалист СБ получает на руки зарплату в размере 60 000 руб. Сумма налоговых, страховых и прочих отчислений составляет округленно 40 %. Итого работник стоит компании 100 000 руб. в месяц или 1 200 000 руб. в год. Чтобы определить затраты предприятия на его содержания по состоянию на июнь 1 200 000 /12 х 6 = 600 000 руб. Таким образом, для достижения Порога рентабельности показатель ЭЭ данного работника так же должен составлять 600 000 руб.

Если показатели сотрудника расположены левее Порога рентабельности, значит на сегодняшний день он получил от компании больше, чем принес ей пользы. Однако, чтобы принять решение о необходимости корректирующих мер, руководителю службы необходимо учитывать содержание и ожидаемый результат, проведенных этим специалистом мероприятий, так как эффект от его работы может быть отложенным во времени. Тем не менее уже к исходу первого полугодия, желательно, чтобы все члены команды показали, хотя бы нулевую рентабельность, а далее только положительную.

Текущее ранжирование целесообразно доводить до подчиненных хотя бы один раз в неделю.

Чтобы не перегружать коллектив управленческим воздействием, в некоторых компаниях используется формат еженедельного дайджеста службы безопасности, куда включаются новости службы, лучшие практики, указания и распоряжения общего характера и, конечно, результаты работы службы.

Так же по значению экономической эффективности можно анализировать динамику работы СБ год к году:

Для сравнения подразделений безопасности между собой можно использовать среднее значение ЭЭ на одного сотрудника:

В результате предлагаемых мер, образ результата должен выглядеть так:

Активности службы безопасности, не имеющие денежного выражения, такие как применение мер дисциплинарного воздействия, увольнения, подача заявлений в правоохранительные органы, возбуждение уголовных дел, осуждение сотрудников компании, либо третьих лиц, учитываются в статистике, но на ранжирование сотрудников и подразделений не влияют. Рассматриваются, как инструменты для достижения экономического эффекта.

Более того, их можно рассматривать как характеристику активности работника.

То есть, если у сотрудника высокие показатели в этом блоке при низком значении Экономического эффекта, это означает, что он активен и работоспособен, но неверно расставляет приоритеты. Необходимо оказать помощь и скорректировать его работу.

Если, и нематериальные результаты активностей, и экономический эффект низкие, то мы имеем дело с человеком, который не настроен на работу, лучше его заменить.

Для кейсов или расследований, в результате которых внесены изменения в нормативную базу, бизнес-процессы или митигирован системный риск, если при этом невозможно точно определить его стоимость или размер предотвращенного убытка, может быть введен дополнительный признак, проставляемый вручную, который также будет учитываться при ранжировании. Например, «Значимое расследование» решением Директора по безопасности по представлению руководителя направления ЭБ. Правила присвоения признака прописываются в «Регламенте проведения корпоративных проверок». Это, конечно, привнесет небольшой элемент субъективности, но станет меньшим из зол.

Выработанные правила оценки эффективности работы подразделений безопасности и отдельных сотрудников «зашиваем» в годовые цели и мотивацию. Далее этому будет посвящена отдельная глава.

Управление рисками безопасности

По мере накопления информации в Базе данных инцидентов безопасности, появляется возможность ее анализировать, выявлять наиболее проблемные бизнес-процессы, операции и подразделения, то есть идентифицировать риски. А увидев проблему, мы сможем и предложить ее решение – управлять рисками.

В отличие от классического управления рисками через математическое моделирование, в этой главе затрагиваются только вопросы, связанные с угрозами безопасности, выявляемыми в результате проведенных расследований по фактам материальных или финансовых потерь, а также предпосылкам к их возникновению. Предлагаемая модель основана на методе масштабирования: от частного случая к идентификации и решению системной проблемы.