Любой человек в процессе своего роста и развития проходит несколько этапов: детство, юность, зрелость и старость и для каждого из них необходим собственный подход к обучению, воспитанию и управлению.

Похожие метаморфозы происходят и с Компаниями.

На «детском» этапе, всем управляет и принимает все решения собственник лично. Он готов воспринимать и реализовывать новые идеи, но все еще в ручном режиме, точечно и бессистемно. Горизонт планирования не превышает нескольких месяцев.

«Подростковый» этап характеризуется ростом масштаба бизнеса, физической неспособностью собственника уследить за всеми процессами, при сохраняющихся попытках всем управлять и во все вникать лично. Иногда принимаются на работу опытные управленцы, но полномочия им не делегируются, что не позволяет изменить ситуацию. Горизонт планирования 1-3 года, но текущие (месячные, квартальные) планы со стратегическими целями, как правило, не увязаны.

«Зрелость» – преодоление подростковых проблем. Выстраивание многоуровневой иерархии, закрепление за менеджерами зон ответственности, делегирование полномочий, внедрение процессного подхода управления бизнесом. Есть видение развитие Компании и десятилетия и четкие цели на 3 года, увязанные с текущими планами.

«Старость» – управленческая иерархия усложнена, процесс принятия решений бюрократизирован, сложная система бизнес-отчетности в большей степени отражает ожидания топ-менеджмента, а не реальное положение дел. Все изменения спланированы на десятилетия вперед и корректировка целей невозможна, либо сильно затруднена.

При этом, совершенно логично, что бизнес-процессы выстраиваются и наступают последующие степени зрелости в первую очередь в «профитных» дирекциях, то есть там, где генерируется прибыль. Вспомогательные функции, включая безопасность, могут пребывать в подростковом или даже детском состоянии еще долгие годы – до них просто не доходят руки грамотных управленцев. 

Но рано или поздно, сложившийся дисбаланс становится очевидным всем и, критически требующим стабилизации. Ситуация «As Is» никого не устраивает, но образы «To Be» и тем более «How?» не имеют выраженных очертаний.

В этот момент возникает запрос на концептуальный взгляд на функцию безопасности, ее роль и задачи в современных условиях, а для самих «безопасников» начинается процесс самоидентификации – «Кто мы и зачем?».

Результат этих поисков будет сильно зависеть от предыдущего опыта участников, специфики предприятия и ожиданий акционеров.

Если в результате удается достигнуть консенсус о необходимости выстраивания системной работы и современной бизнес-ориентированной функции безопасности, то видение образа и задач Службы безопасности (далее – СБ), может выглядеть так…

·              Цель Компании – извлечение прибыли. Основной показатель ее эффективности EBITDA. Чем он больше, тем лучше. Значит, задача всех структурных подразделений компании, включая Безопасность, этому способствовать. 

·              Роль Службы Безопасности – улучшение EBITDA, через сокращения расходной части P&L, путем уменьшения потерь от противоправных посягательств и неэффективности.

Тогда,

·               Миссия СБ – мы являемся подразделением, обеспечивающим непрерывность бизнеса Компании и сохранение ее активов, путем реализации мер физической и экономической и информационной безопасности.

·              Цель СБ – улучшение финансовых результатов Компании через сокращение потерь и неэффективных расходов, возникающих в следствие противоправных действий и/или несовершенства бизнес-процессов.

·               Продукт СБ – технология по обработке, анализу и решению инцидентов безопасности, обеспечивающая возмещение убытков и, создающая условия для их предотвращения.

·              Видение будущего СБ в горизонте 3-х лет

o      все подразделения безопасности перешли на единый формат активностей, гарантирующий прозрачность и объективность показателей результативности, а также позволяющий оценить эффективность затрат за это направление.

o      сформирована единая база инцидентов безопасности, позволяющая выявлять риски, оценивать их с точки зрения влияния на бизнес и вероятности реализации.

o      на основе анализа накопленных знаний, сформирован реестр рисков, выработаны и реализуются мероприятия по их снижению. 

·              Индикаторы здоровья

o      максимизация экономического эффекта от деятельности подразделений безопасности (позитивного влияния СБ на финансовые результаты Компании) и его рост год к году.

o      максимизация соотношения экономического эффекта от деятельности функции к затратам на обеспечение безопасности.

o      минимизация потерь Компании от противоправных действий сотрудников и третьих лиц, а также неэффективности бизнес-процессов и несовершенства, регламентирующих их локальных нормативных актов.  

Ответив на вопросы философские, самое время перейти в практическую плоскость и ответить на вопрос «как?».

Стратегические цели дирекции безопасности, тактика их достижения и образ желаемого результата представляются следующим образом:

При этом, под инцидентами понимаются события (в том числе возможные), связанные с нарушением внутренних нормативных документов, и/или риском/фактом коррупции, внутреннего фрода, информация о котором поступила в подразделение безопасности, требующая уточнения в ходе  проверки.

То есть, в качестве инцидента можно рассматривать не только уже случившееся событие, но и то, которое может произойти в будущем так как к этому имеются предпосылки.

В этом случае технология обеспечения безопасности в разрезе направлений защиты может быть сформулирована так:

·               Физическая безопасность (ФБ). Контроль внешнего (территория) и внутреннего (здания, офисы, производственные и технические объекты) периметров осуществляется посредством постов физической охраны и техническими средствами в круглосуточном режиме, координацию обеспечивает оперативный дежурный Компании, которому подчинены оперативные дежурные на объектах (оперативно-дежурная служба). В случае нарушений, они пресекаются (локально купируются), инцидент регистрируется на специальном ИТ-ресурсе где, в последующем отражается его статус и результат отработки. Сложные инциденты (с признаками системных рисков) передаются в подразделения экономической безопасности для проведения расследования.

·               Информационная безопасность (ИБ). Контроль внешнего информационного периметра и внутреннего трафика осуществляется посредством технических средств и постов мониторинга (SOC-Security Operation Center). В случае нарушений, они пресекаются автоматически, либо нежелательная активность блокируется вручную администраторами сети (локально купируются), инцидент регистрируется на специальном ИТ-ресурсе где, в последующем отражается его статус и результат отработки. Сложные инциденты (с признаками системных рисков) передаются в подразделения экономической безопасности для проведения расследования.

·              Экономическая безопасность (ЭБ) – ключевое направление деятельности Дирекции. Все инцидент безопасности регистрируется на специальном ИТ-ресурсе (Базе данных) где, в последующем отражается его статус и результат отработки. По инцидентам, имеющим признаки системных рисков (в т.ч. выявленных другими подразделениями), проводятся корпоративные расследования для установления причин и условий произошедшего, виновных лиц, выявления уязвимости в бизнес-процессах и выработки рекомендаций по их митигации.

Все расследования и их результаты заносятся в Базу данных. По мере накопления информации осуществляется ее анализ, формируется реестр рисков с привязкой к бизнес-процессам, стоимостной и вероятностной оценкой. По результатам разрабатывается и реализуется План митигирующих мероприятий с постконтролем эффективности внедренных корректирующих мер.

Или тоже самое в виде цикличной модели:

Организационно-штатная структура Дирекции безопасности формируется по линейно-территориальному принципу, когда в головном подразделении создаются Центры компетенций (ФБ, ЭБ, ИБ), организующие и координирующие работу профильных сотрудников в филиалах, производственных площадках и иных обособленных объектах по своим направлениям (линиям).

В результате получаем:

·               Учет, регистрацию и отработку абсолютно всех инцидентов безопасности[1] по направлениям работы (ФБ, ИБ, ЭБ) и расследование наиболее сложных из них.

·               Корпоративные расследования, как единая унифицированная форма отработки сложных инцидентов безопасности и выработки предложений по внедрению корректирующих мер как в отношении виновных лиц, так и по изменению бизнес-процессов.

·               Накопление информации об инцидентах безопасности, их анализ, выявление системных рисков и уязвимостей в бизнес-процессах, выработка и реализация мер по их митигации.

·              Сквозное вертикальное функциональное управление по линиям работы (ФБ, ЭБ, ИБ).

Активности и контроли, вне процесса корпоративных расследовании, включая оценку контрагентов на риски взаимодействия, а также проверку кандидатов на работу и действующих сотрудников, рассматриваются как инструменты, направленные на поддержание установленных стандартов безопасности и выявление отклонений от их требований, которые в свою очередь становятся основаниями и поводами для расследований.

 Выработка концепции обеспечения безопасности, позволяет сформировать представления об образе желаемого результата, того самого «To Be». А зная, куда мы хотим, можно проложить маршрут и рассчитать время в пути.

 Подробно по предпосылках к изменениям в СБ, стратегии и тактике обеспечения комплексной безопасности рассказано в книге «Корпоративная безопасность, как бизнес-процесс».

[1] Предполагается, что это позволит избежать ситуации, когда сотрудники СБ расследуют только, те события, которые им кажутся перспективными с точки зрения поиска виновных или могут быть преподнесены руководству или акционерам, как успех.

Автор: Алексей Швецкий, Член ICSA (Международная Ассоциация Корпоративной Безопасности

* Данный материал опубликован в журнале © «Директор по безопасности», февраль 01/2025