Недружественные захваты и поглощения, кражи товарно-материальных ценностей, хищения средств и технологий – современные угрозы бизнесу могут поразить своим многообразием человека со сколь угодно развитым воображением.
Служба безопасности предприятия
Нормативная база по защите компании:
Зачем она нужна?
Что первично – документация или процессы?
Какие документы должны регулировать корпоративную безопасность?
Недружественные захваты и поглощения, кражи товарно-материальных ценностей, хищения средств и технологий – современные угрозы бизнесу могут поразить своим многообразием человека со сколь угодно развитым воображением. Любой бизнесмен в глубине души надеется, что рано или поздно наступит такой момент, когда механизм его бизнеса будет отлажен подобно часам, а вышеперечисленные угрозы будут вспоминаться как нечто безвозвратно ушедшее. Однако необходимо четко отдавать себе отчет в том, что эти угрозы не являются каким-то временным явлением переходного периода российской экономики, а характеризуют естественный, закономерный процесс капиталистической действительности. Очень важно, чтобы при борьбе с этими угрозами безопасность не превращалась в самоцель. Очень важно не забывать главного. А главное в бизнесе – это получение прибыли. Отсюда и должны исходить все мотивы, строиться все действия в бизнесе. Прибыль достигается совокупностью различных мероприятий, среди которых безопасность играет не главную, но заметную роль – путем сокращения и предотвращения потерь можно существенно увеличить прибыль. Это можно сделать, вложив средства в системы безопасности, предназначенные для противодействия рейдерским захватам, пресечения краж и мошенничества, минимизации потерь в результате административных ошибок и действий изворотливых конкурентов.
Прежде чем говорить о документации, регламентирующей процессы безопасности, стоит уяснить, что здесь не может быть универсального рецепта. Каждая компания уникальна и бизнес-процессы безопасности, а, соответственно и документы, регламентирующие их, могут отличаться кардинально.
Для того чтобы определить идеологию безопасности, собственник или совет директоров (а не директор по безопасности) должны скурпулезно проанализировать угрозы для бизнеса (преступность, проверяющие органы, конкуренты, мошенники, воровство и т. п.) и возможные последствия их реализации (уголовная ответственность, потеря бизнеса и недвижимости, штрафы, крупный материальный ущерб и пр.). Такой анализ можно рассматривать как составную часть бизнес-плана по обеспечению стабильности и развитию бизнеса. Результатом этого анализа может стать осознанное понимание необходимости защиты бизнеса в той или иной форме и, в первом приближении, очертания этой формы. То есть, уже на этом этапе становится понятно, создавать ли собственную полноценную службу безопасности либо искать другие варианты.
Это понимание может появиться не сразу. Мне, для того, чтобы осознать и определить для себя очертания существующей сегодня в компании модели безопасности, пришлось пройти двадцатилетний путь от первых, интуитивно нарождающихся попыток обеспечить защиту бизнеса в начале девяностых, через непродуманные отраслевые законы нулевых к работающей сегодня, как отлаженный механизм, системе. Сейчас каждый безопасник при построении контуров системы должен пройти этот путь гораздо быстрее, за месяц-два. В предельно сжатые сроки необходимо понять, что бизнесу нужно, какие существуют риски и угрозы, какие последствия эти риски и угрозы несут и нужна или не нужна и если нужна, то, в каком виде, экономическая безопасность. Это очень важный момент – то, какие формы и очертания принимает экономическая безопасность в организации.
В упомянутые девяностые годы однозначно были спутаны два понятия: охрана (ЧОПы) и экономическая безопасность. ЧОПы занимались безопасностью. Собственные службы безопасности занимались охраной — через так называемых контролеров, вахтеров. Такая ситуация продолжалась довольно долго. Некоторое время назад наши законодатели попытались провести кардинальную черту: собственная служба безопасности организации как юридическое лицо не может существовать, не имеет права на существование. Это, безусловно, надуманный тезис, скорее всего, ставший результатом лоббирования интересов МВД в конкурентной борьбе за охранный рынок. Однако если какие-то процессы востребованы жизнью, то их нельзя изменить искусственным способом. Экономические законы нельзя изменить волевым политическим решением. Их можно ослабить или усилить, но не уничтожить. Поэтому подразделения безопасности все-таки остались, в том или ином виде. Что, кстати, сыграло положительную роль в развитии отрасли, но об этом чуть позже.
Итак, каждый бизнесмен решает сам, насколько и в какой форме нужна безопасность его бизнесу. На одной чаше весов здесь надежность и качество защитных мер. А на другой — их стоимость. Если затраты превышают размер потенциально предотвращенных потерь, такая безопасность никому не нужна. Именно такая ситуация произошла у нас в Аптечной сети «36,6» в 2005 – 2006 гг., когда компания начала политику агрессивной территориальной экспансии. Мы осознали, что старая схема «в каждой аптеке должен быть охранник» стала нерентабельной для бизнеса. Чаша весов со стоимостью стала перевешивать. Пришлось кардинально менять схему. Вместо огромной службы безопасности со сложной структурой и иерархией мы выстроили систему, кардинально сократив при этом персонал. Конечно, жалко было терять охранников на объектах. Ведь, фактически, они выполняли не только охранные функции, они следили за процессами, обладали, как никто другой, ценной информацией, в общем, являлись представителями службы безопасности. Но на самом деле, это все та же подмена понятий – охранники выполняли функции сотрудников службы экономической безопасности, чего быть не должно. И вот эти два, негативных на первый взгляд, факта – кризис существовавшей системы безопасности компании и позднее законодательное упразднение служб безопасности, сыграли положительную роль – кризис подтолкнул нас к полному и кардинальному изменению схемы защиты бизнеса, а законодательные корректировки дали огромный толчок развитию нашей кафедры «Анализ рисков и экономическая безопасность» Финансового Университета при Правительстве РФ, которая, кстати, в этом году была преобразована из кафедры в факультет, а в следующем году будет отмечать 15-летие. Второе дыхание кафедра получила именно благодаря тому, что произошло более-менее четкое определение понятий и функций субъектов безопасности. Пусть это определение было не очень правильным с точки зрения здравого смысла, но оно сыграло свою положительную роль. Ведь, в конце концов, для охраны активов компания может нанять сторонний, аутсорсинговый ЧОП, но это всего лишь 10% безопасности, а остальные 90% нужно системно выстраивать.
Какие формы может иметь безопасность в организации? Самый простой и дешевый вариант – поставить телефон и рядом с ним табличку: «В случае неприятностей звонить 02». Очевидно, что этот вариант работать не будет. Или почти не будет. Даже отбросив качество и мотивированность работы наших правоохранительных органов, мы понимаем, что при всем желании реальные результаты получить будет невозможно. Например, по итогам инвентаризации я понимаю, что, скорее всего, произошло хищение ТМЦ на складе. А самого факта нет. Нужно же, чтобы кто-то этот факт нашел. Но полиция его искать не будет, поскольку нет заявления, которое я не могу написать, потому что не имею информации о факте преступления. Замкнутый круг.
Следующий вариант схемы безопасности – отживающие свое так называемые милицейские «крыши». Эта схема, помимо общей слабой эффективности и явного противоправного характера имеет один существенный недостаток: такие «защитники» в случае неудовлетворения их растущих аппетитов могут устроить бизнесу неприятности, которые будут несовместимы с самим существованием этого бизнеса.
Еще одна схема «супермен / универсальный солдат» оказалась довольно живучей и до сих пор весьма распространена, особенно у начинающих бизнесменов. Бытует мнение, что бывший генерал со связями, поставленный на должность начальника СБ, одним звонком может решить любую проблему. Однако, такой метод может с определенным успехом минимизировать угрозы, но не устранять их причины. Соответственно, общая эффективность схемы в целом невысока.
Также в качестве варианта построения схемы безопасности можно рассматривать аутсорсинг. Для охраны нанимается внешний ЧОП, а остальными видами безопасности занимаются консалтинговые компании, информационные бюро, ИТ-фирмы, частные детективы и пр. Такая схема довольно сложна в осуществлении, но для определенных компаний может оказаться вполне работоспособной и оптимальной.
И, наконец, вариант, который заслуживает наибольшего внимания — грамотная выстроенная система безопасности. Именно в этом случае можно говорить о базовых требованиях и определениях, касающихся внутренней регламентирующей документации.
Я предлагаю такой термин — зонтик безопасности. Чем более полно выстроена система безопасности, тем сильнее раскрыт зонтик и тем качественнее он защищает от неприятностей. Поясню.
Первый этап любого бизнеса можно охарактеризовать закрытым зонтиком. На этом этапе проводится аудит рисков и угроз и принимается решение о построении системы безопасности в той или иной форме.
Второй этап – это создание матрицы рисков и выбор модели противодействия. И вот здесь, на этапе формирования модели противодействия, зонтик начинает понемногу раскрываться. Модель противодействия – по сути, первый документ, как правило, умозрительный, хотя иногда он оформляется на бумаге и называется Политикой безопасности. Говоря языком бизнеса, политика – это бизнес-план предпринимателя по защите активов, описывающий что, от чего и в какой степени подлежит защите. Уже на этом этапе идет апробация первых мероприятий, поскольку могут быть обнаружены и сразу нейтрализованы угрозы, ранее явно не проявившие себя, поэтому и можно говорить о полураскрытом зонтике, когда частично раскрывается один или несколько его сегментов – экономическая, физическая, кадровая, информационная безопасность и пр.
В результате всего вышеперечисленного появляется основополагающий документ – Концепция безопасности. Если Политика – это документ о том, что защищать, то Концепция – документ о том, как защищать. Концепция обязательно должна утверждаться на уровне собственников, поскольку без концепции никакие иные документы, в принципе, не имеют права на существование. Концепция – очень важный документ. Как можно обсуждать, куда ребенка после школы направить, если еще сама школа не выбрана? К сожалению, многие не пишут Концепцию и этому есть простое объяснение: Концепция безопасности – документ хоть и основополагающий, но почти невостребованный в работе, то есть после создания он, что называется, лежит на полке. Однако, несмотря на это обстоятельство, я считаю крайне полезным написание Концепции – это позволит создавать рабочую нормативную базу осмысленно.
После написания концепции возникает вопрос: как ее реализовывать? Для этого необходимо создать множество рабочих регламентирующих документов по каждому процессу, другими словами, разработать локальную нормативную правовую базу службы безопасности. Подробно о том, как это делается, описано в учебном пособии Финансового Университета при Правительства РФ «Организация деятельности негосударственных охранных структур», соавтором которого я являюсь. Ниже я остановлюсь на некоторых важных документах.
Любое подразделение в компании необходимо структурировать – будь то отдел, служба, департамент. Первое, к чему необходимо приступить после написания Концепции – это штатно-должностное расписание подразделения. Без этого документа никак нельзя – это и финансы и юридический аспект и управление и взаимодействие. Штат не должен быть незыблемым, штатная структура – это живой документ и хорошо, когда он изменяется в зависимости от поставленных задач. Я считаю большой ошибкой, когда на год утверждается бюджет безопасности (включая фонд оплаты труда) и этот бюджет считается незыблемым. В течение года могут появляться совершенно новые риски и угрозы, при этом старые угрозы могут стать менее актуальными. Поэтому разумно, если бюджет безопасности гибкий. Но это уже вопрос к финансистам.
Следующим важным комплектом документов является Положение о службе экономической безопасности и Положения об отдельных подразделениях. Положение о СЭБ — это документ, описывающий роль и место Службы безопасности в компании, формы и методы работы, сроки выполнения и отчетность, подчиненность и взаимодействие подразделений. Из этого Положения вытекают Положения об отдельных подразделениях, например, Положение об Отделе ИТ-безопасности, Положение об Отделе Расследований и т. п.
Рангом ниже после положений идут функциональные (должностные) обязанности сотрудников. Функциональные обязанности определяют роль, место, уровень компетенций и уровень ответственности конкретной штатной единицы.
Это очень важные документы долгосрочного характера. Частая ошибка – берут человека и под него пишут функционал. Должно быть наоборот. Человек должен быть частью отлаженной системы, а не система подстраиваться под конкретного человека. Еще один важный момент: необходимо тщательно выверить должностные инструкции на предмет соответствия российскому законодательству.
Кроме того, необходимо разработать частные локальные документы о принципах защиты отдельных бизнес-направлений: производство, снабжение, финансы, кадры, информация и т.п.
Полезными документами также могут оказаться методики, выпускаемые для сотрудников, не являющихся сотрудниками СБ относительно обеспечения безопасности конкретных бизнес-процессов. Методики носят ознакомительно-рекомендательный характер.
Наряду с методиками по отдельным вопросам должны выпускаться инструкции. В данном случае характер документа должен быть не рекомендательным, а обязывающим к точному исполнению. Примером может служить инструкция для продавцов по взаимодействию с проверяющими.
Очень важными документами являются документы планирования – текущего и перспективного. Должна планироваться деятельность на разные периоды в целом по компании и по отдельным проектам в соответствии с Концепцией и локальной нормативной базой.
И последний (по порядку, но не по значению) комплект документов, о котором хотелось бы сказать – документы контроля эффективности мероприятий безопасности и документы отчетности. С определенной периодичностью должен проводиться аудит состояния безопасности, результаты которого должны докладываться совету директоров с целью анализа и внесения корректировок.
Повторюсь, что в вопросах локальной нормативной базы нет и не может быть готовых шаблонов, поскольку каждая компания уникальна и имеет свои особенности, основываясь на которых разрабатывается Концепция безопасности и другие нормативные документы.
Автор: Сергей Кашурников, Административный директор Аптечной сети «36,6», доцент кафедры «Анализ рисков и экономическая безопасность» Финансового университета при Правительстве Российской Федерации
Статья опубликована в июльском номере журнала «Директор по безопасности» http://www.s-director.ru