Частные мнения некоторых экспертов по корпоративной безопасности о том, что Бизнес в лице владельцев компаний и СЕО – как Заказчиков, зачастую не понимает глубину предмета корпоративной (экономической) безопасности, что создает сложность диалога между заказчиком и исполнителем – уже далеко не частные мнения отдельных экспертов, а вполне сложившийся тренд и объективная реальность. 

Это с одной стороны.

С другой стороны, в противовес этому есть огромная армия специалистов и руководителей по корпоративной безопасности, которые однозначно убеждены в том, что те знания и умения, которыми они обладают в этой области – это и есть та истина корпоративной безопасности, которая необходима конкретной отрасли и конкретной компании.

И зачастую специалисты и руководители по корпоративной безопасности находятся в постоянном процессе убеждения Бизнеса в конкретной компании в том, что их «религия» безопасности верна, действенна и эффективна. И когда их не понимают, не соглашаются или не принимают всерьез, то сильно расстраиваются и сетуют на то, что Бизнес ничего не понимает в безопасности. 

С третьей стороны есть само по себе явление «безопасность бизнеса», которое не является академической наукой, не теоретизировано на уровне аксиом и стандартов, не описано полноценно и исчерпывающе в учебниках (как минимум в российской литературе) и выглядит в большей мере как набор практических действий, опробованных в конкретных отраслях и компаниях и то, что приносит очевидный результат, взято в арсенал работы специалиста и руководителя корпоративной безопасности (в данном контексте я не имею ввиду обязательные для соблюдения правила, предписанные законами государства. Например, в области защиты КИИ, персональных данных или антитеррористические правила). 

Как итог, мы видим интересный парадокс: с одной стороны, отрасль корпоративной безопасности существует…ведь она есть в компаниях в виде конкретных действий, людей, результатов. Однако с другой стороны ее как бы нет… нет четких стандартов, на чем она базируется, нет четких правил, и все это опирается только на практику и на здравый смысл.

Как эксперт по корпоративной безопасности я могу точно утверждать, что есть банк так называемых «лучших практик» по корпоративной безопасности, который формируется довольно стихийно при стечении ряда обстоятельств:

1. Прогрессивная\зрелая компания
2. Прогрессивный\зрелый и вдумчивый СЕО\владелец как заказчик
3. Прогрессивный\зрелый и вдумчивый директор по безопасности (и соответствующая команда) 

С учетом того, что это большая удача – наличие всех трех элементов в одной компании, банк «лучших практик» не настолько велик. И доступ к нему для получения этой ценной информации зачастую не так прост. Как правило, банк «лучших практик» находится в больших компаниях, являющихся лидерами отраслей, но это не обязательно.

Используя диаграмму Венна, пробуем соединить все четыре точки:

Как итог простого анализа, очевидно то, что чем ближе друг к другу круги диаграммы, тем больше эффект от работы функций безопасности. Чем круги дальше друг от друга, тем эффект менее значимый и менее полезный для бизнеса. 

Таким образом, возникает вопрос – а как сделать так, чтобы круги находились максимально близко друг к другу?

Мой личный опыт подсказывает, что ответ на этот вопрос не столь сложен, как неоднозначен. 

С учетом того, что «безопасность бизнеса» это все-таки сервис, который оказывает услуги бкзопасности для бизнеса, то как и в любом сервисе Бизнес-заказчик и его ожидания первичны, а остальное вторично. 

Это значит, что в самом начале пути мы приходим к ключевому Заказчику и задаем ему вопросы: «какие у вас ожидания от нас?», «что вы ждете от нас как результат?», «как вы планируете измерять нашу эффективность?». 

Это базовая величина, на которой необходимо строить функцию безопасности. Даже если ответы на эти вопросы вас удивят, расстроят или вызовут волну негодования, то вы должны четко усвоить, что для конкретной компании, конкретного Заказчика – это норма и это его запрос к вам.  Ведь приходя в парикмахерскую, в магазин, или не важно куда еще в роли Заказчика сервиса или услуги, вы же хотите купить ту услугу, которую вы хотите, а не ту которую хочет исполнитель. Все просто.

И все лучшие практики, все ваши знания и опыт, все авторские курсы по безопасности разбиваются об ожидания ключевого заказчика, если…

… если он не погружен в сам предмет корпоративной (экономической) безопасности. 

Погружение в предмет безопасности ключевого Заказчика – это и есть инструмент достижения ключевой цели – получение максимального эффекта от деятельности функции безопасности в компании.

Погружение в предмет – это самая сложная составляющая в процессе сближения кругов по ряду причин:

1. Мы сами должны быть точно уверены в том, что наши знания в предмете достаточны и они если не эталонные, то как минимум близки к лучшим практикам
2. Мы должны быть уверены, что мы умеем и обладаем навыками донесения сложной для Заказчика информации простыми словами, на понятном ему языке.
3. Мы должны понимать, что заход в упражнение по погружению Заказчика может быть неоднократным, поскольку готовность Заказчика услышать вас, понять и возможно поменять свою точку зрения довольно низка. 

Что обычно ждет от вас или чем обычно не «пробьешь» Заказчика:

1. Заказчик ждет только одного – результата. И лучше, чтобы он был выражен в деньгах. Все остальное – ваши фантазии. Но при должном уровне знаний и опыта, заказчика можно погрузить в предмет через деятельность безопасности связанной минимизацией рисков корпоративного мошенничества (общее собирательное понятие) как результат. Тут важно быть последовательным и довольно логичным в объяснении вашей деятельности через риск-ориентированную модель. 
2. Заказчик не приемлет «пугалок» типа: «если вы этого не будете делать/если у вас не будет так, то у вас будет все плохо». Тупиковый путь. Любой предприниматель или крупный бизнесмен постоянно живет в ситуации неопределенности и рисков. И для него вопрос тревожности и наличие рисков/угроз не является проблемой, поскольку для него это часть жизни.  Поэтому смотрите пункт 1.
3. Заказчик ждет от вас комфорта и уверенности для себя. Он должен почувствовать вас, почувствовать, что от вас исходит уверенность, которая создает ему комфорт в ваших обещаниях. Это достигается глубоким знанием предмета, хорошими коммуникативными способностями и постановкой голоса. 

С чего начать эксперту по безопасности для того, чтобы погружение Заказчика в предмет прошло успешно в максимально короткий период времени:

1. Необходимо убедиться в том, что ваши знания самого предмета корпоративной безопасности современны, отвечают потребностям отрасли, в которой вы находитесь и вы понимаете стратегию развития безопасности на ближайшие годы. Конечно, практически единственным инструментом для этого служит отраслевое общение. Ходите на конференции, общайтесь с коллегами внутри отрасли и в рамках межотраслевых встреч. Найдите себе по душе отраслевую Ассоциацию или Клуб, в которых вы сможете забирать и делиться опытом. Решите для себя, какие компании для вас могут быть примером в качестве модели корпоративной безопасности и наладьте коммуникации с вашими коллегами в них. Я уверен, что зачастую то, что нам казалось правильным, может оказаться совсем не тем, или опыт коллег даст нам новые идеи и решения. 
2. Необходимо абсолютно честно себе ответить на вопрос – умею ли я простыми словами, на примерах, рассказывать сложные вещи. Смогу ли я в очень сжатый период времени (а как правило у Заказчика нет времени слушать от вас лекции по безопасности) донести до Заказчика ключевые и важные смыслы. И нет ничего страшного, если вы понимаете, что это ваша зона роста. Нужно тренироваться на своей команде, коллегах, внутри и вне компании. 

Пример сложности диалога между Заказчиком и экспертом по безопасности:

Вы пришли к Заказчику с вопросом его ожиданий от вашей функции безопасности. 

Его ответ на этот вопрос очень простой, емкий: «я хочу, чтобы у меня не воровали». Куда уже проще и понятнее… но в этом и кроется вся проблема в диалоге. Каждая из сторон мыслит в своей системе координат.

Заказчик мыслит так: «ну ты же безопасник, я трачу на твою команду много денег, поймай всех воров и перестанут воровать». И это его система координат и его реальное осознание того, чем занимается корпоративная безопасность.

Как мыслит эксперт по безопасности: «уважаемый Заказчик, если вы хотите, чтобы было меньше хищений и потерь, то это не столько про ловлю воров, сколько про наведение порядка в бизнесе, а именно:

• Навести порядок с качеством инвентаризаций
• Упростить и сделать более прозрачными бизнес-процессы
• Упростить и приземлить массу правил в компании, прописанных в регламентах и политиках
• Внедрить ряд ИТ-решений, позволяющих управлять бизнесом более эффективно 
• Разложить ключевые бизнес-процессы на риски и внедрить контроли в них для минимизации возникновения угроз хищений\потерь.
• И ряд других активностей, систематизирующих бизнес и тем самым снижающих риски хищений

И это основное, что необходимо делать помимо ловли воров. Все это занимает время, деньги и вовлекает остальные функциональные подразделения в большую работу».

Далее возникает та самая сложность в диалоге с Заказчиком. 

Модель работы безопасности для Заказчика довольно простая и четкая – ловить воров. И ему сложно переключиться на то, что безопасность для реализации такой задачи предлагает заняться процессами и операционной эффективностью. Заказчик хочет «здесь и сейчас», то есть реактивный подход в работе, вы ему говорите про системный подход, то есть проактивный подход в управлении рисками хищений\потерь. Непонимание. Расстройства. Возможно конфликт. И упрощение Заказчиком ключевой роли безопасности не в невежестве или неуважении безопасности, а в реальном непонимании самой роли, потенциала и причинно-следственных связях между действиями и последствиями в виде хищений и коррупции (то есть насколько непрозрачность и сложность процессов увеличивает риск коррупции и корпоративного мошенничества, настолько их простота и прозрачность снижает эти риски). 

И вот тут возникает необходимость глубокого погружения заказчика в предмет экономической безопасности.

Ключевой смысл описываемой проблематики – это недостаток общения между Заказчиком и исполнителем. Чем больше общения и погружения в предмет корпоративной (экономической) безопасности Заказчика со стороны руководителей корпоративной безопасности, тем эффективнее становится инвестиция предпринимателя в свой комфорт и безопасность.

Автор: Сергей Матвеев, президент международной ассоциации корпоративной безопасности ICSA

* Данный материал опубликован в журнале © «Директор по безопасности», сентябрь 02/2025