Алексей Швецкий – Корпоративная безопасность, как бизнес-процесс (страница 6)

Риски бывают разные и степень их влияния на бизнес не одинакова. В зависимости от характера угроз, их можно принять (согласиться с их существованием), передать (например, застраховать) или митигировать (устранить или понизить – часть устранить, остальное принять).

Как правило принимаются (то есть учитываются, без принятия мер) риски, вероятность реализации которых не значительна, либо стоимость внедрения защитных механизмов выше цены риска.

Например, при покупке (поглощении) одной компании другой, реципиент принимает риски, связанные с возможными проблемами интеграции оборудования или бизнес-процессов донора, так как это с лихвой компенсируется суммарным выигрышем от сделки.

Либо стоимость технических средств, гарантированно обеспечивающих безопасность груза при перевозке, кратно увеличивает логистические затраты, при том, что криминогенная обстановка на территории присутствия благоприятная. То есть вероятность утраты ценностей в результате противоправных действий минимальна, а перевозимое имущество не представляет интереса ни для кого, кроме получателя. В таком случае можно отказаться от вооруженной охраны, ограничившись пломбированием упаковок и контейнеров (принятие риска), либо переложить в договоре ответственность за сохранность груза на перевозчика или застраховать перемещаемое имущество (передача риска).

Не принимаются риски, создающие угрозы дальнейшему функционированию предприятия, либо неприемлемые с точки зрения комплаенса или этических норм, принятых в компании.

Так, некоторые западные корпорации покинули российский рынок, потеряв прибыть и обнулив достигнутые успехи по захвату его доли, опасаясь санкций США, применение которых могло привести к остановке всего бизнеса (риски функционирования).

Или компания может отказаться от осуществления коммерческой деятельности в стране, где это невозможно делать без передачи взяток местным чиновникам (этические и комплаенс-риски).

Если же вероятность возникновения риска средняя или выше, а стоимость защитных мер разумна, то такие риски митигируются. То есть реализуются мероприятия, направленные на создание условий, препятствующих их реализации, либо снижающие вероятность.

Степень влияния на бизнес определяется масштабом негативных последствий, наступающих вследствие реализации риска (по убыванию):

Невозможность дальнейшей деятельности

Несоблюдение требований регуляторов и/или законодательства

Финансовые потери

Сбои в оказании услуг (Value Added Services – VAS)

Отток клиентов (customer lifetime value – CLV)

Иные последствия

Для определения степени влияния выявленных угроз на бизнес, а также возможности митигации, все выявленные угрозы анализируются:

На основании полученных результатов формируется Карта рисков:

Если База данных инцидентов безопасности пока не содержит достаточного для анализа количества сведений, можно применить прогноз, в рамках которого самостоятельно, руководствуясь опытом, логикой и здравым смыслом, построить модель угроз безопасности.

Результаты будут менее точными и совершенно не подтвержденными статистикой, но в качестве отправной точки для старта процесса управления рисками, вполне подходящими.

Для этого, выделяем угрозы, которые на наш субъективный взгляд могут возникнуть и также предположительно присваиваем им признаки вероятности и определяем степень влияния на бизнес.

На примере food-retail сети, такая модель может иметь такой вид:

На ее основании, формируем тепловую карту рисков:

Как мы уже договорились ранее, построенная матрица не является научно обоснованной и абсолютно достоверной, но, тем не менее, этого достаточно, чтобы определить наиболее критичные для Вашего бизнеса риски и приступить к их снятию или снижению (митигации).

Для обеспечения контроля за текущим статусом работы по митигации рисков безопасности, ведется их Реестр с описанием угроз, разбитых по бизнес-процессам, с указанием дирекций-владельцев, ответственных сотрудников (от функции и от СБ), предложенных корректирующих мер и результата их внедрения. Для наглядности и правильной приоретизация, можно ранжировать список по степени влияния на бизнес.

Например, так:

Где,

Трансформация функции безопасности

Сравнив текущее состояние функции безопасности (As Is) и образ желаемого (To Be), пришло время понять, как из одной фазы перейти в другую (How).

Организационно-штатная структура

Вполне вероятно, что часть задач, которые, по нашему мнению, следовало бы решать Дирекции безопасности, в настоящее время не поддерживается вовсе, а реально проводимая работа не отражена в организационно-штатной структуре.

Чтобы внести ясность, целесообразно разложить все существующие и планируемые активности по направлениям работы.

В качестве иллюстрации мы будем по-прежнему использовать Дирекцию безопасности гипотетического ООО холдингового типа «Рога и копыта», которая организационно включает в себя:

Дирекцию безопасности Центрального офиса (ДБ ЦО);

Дирекцию безопасности производственного кластера (ДБ ПК);

Дирекцию безопасности региональной сети (ДБ РС).

Дирекция информационной безопасности (ДИТ) в рассматриваемом случае в структуру на входит, но в целях наглядности в функционограмме присутствует.

Получаем следующую картину:

Сокращения:

ОДС – оперативно-дежурная служба (ситуационный центр, куда поступает вся информация об инцидентах);

ПБ – пожарная безопасность;

ОТ – охрана труда;

СВН – система видеонаблюдения;

СКУД – система контроля и управления доступом;

ТСО и ПБ —технические средства охраны и пожарной безопасности.

Для большей наглядности, повторяем это упражнение снова, но уже в разрезе подразделений.

На примере ДБ Центрального офиса (штаб-квартира):

В результате проведенных манипуляций, у нас возникает понимание, каким образом изменить существующую или сформировать новую организационно-штатную структуру Дирекции безопасности, чтобы у каждой задачи (направления работы) был исполнитель.

В завершенном виде, организационно-штатная структура Дирекции безопасности ООО «Рога и копыта» может приобрести такой вид:

Функционал и зоны ответственности:

Директор по безопасности холдинга отвечает за физическую, экономическую и информационную безопасность объектов Компании, подчиняется Совету акционеров и является начальником для всех структурных подразделений безопасности холдинга, независимо от их организационно-правовых форм и юридической структуры.

Начальник Отдела экономической безопасности отвечает за отработку инцидентов безопасности, организацию процесса проведения корпоративных расследований, методологическое сопровождение проверочных мероприятий, обобщение и распространение лучших практик, выработку и реализацию митигирующих мер по выявленным системным рискам, а также проверку юридических и физических лиц на риски взаимодействия. Является функциональным руководителем для профильных сотрудников подчиненных подразделений безопасности.

Начальник Отдела физической безопасности обеспечивает физическую охрану всех объектов холдинга, пропускного, внутриобъектового и противопожарного режимов, оснащение их техническими средствами безопасности, эксплуатацию, ремонт и модернизацию этого оборудования. Является функциональным руководителем для профильных сотрудников подчиненных подразделений безопасности.

Начальник Отдела информационной безопасности отвечает за обеспечение герметичности информационного периметра холдинга и режима обращения с информацией ограниченного доступа, оснащение объектов инфраструктуры и организацию эксплуатации оборудования и программных средств для защиты данных от компрометации, модификации и утраты.

Начальник Отдела безопасности Центрального офиса – отвечает за физическую и экономическую безопасность головного подразделения холдинга. Подчиняется Директору по безопасности холдинга.

Директор по безопасности региональной сети/производственного контура отвечает физическую и экономическую безопасность объектов Компании в зоне ответственности, подчиняется Директору по безопасности холдинга.

При этом, полномочия между подразделениями распределяются следующим образом:

Для более зрелых Компаний, можно предложить такую структуру:

В данном варианте региональные подразделения безопасности подчинены руководителю направления ЭБ, так как основное содержание их работы – проведение расследований, а за этот процесс отвечает именно он. Но на практике чаще региональные (объектовые) подразделения замыкаются непосредственно на руководителя функции.

Состав подразделений информационной и физической безопасности с приведенной схеме не раскрывается, так как во многом зависит от территориальной и производственной специфики предприятия.

Функционал по защите коммерческой тайны, информации ограниченного пользования и обработке персональных данных может быть сосредоточен как в ДИТ, так ФБ или даже выделен в отдельное направление. Решение зависит от специфики предприятия, если охраняемые сведения преимущественно обрабатываются в электронном виде, то логично отдать их в ДИТ, если на бумажном – в ФБ.

На уровне макрорегиона (объекта) структура может быть такой:

Инцидент-менеджмент

В соответствии с предложенной концепцией обеспечения безопасности, все инциденты регистрируются и отрабатываются сотрудниками Дирекции по своим направлениям (участкам работы).