В предыдущих статьях мы рассмотрели отличия между ощущением и состоянием защищенности, определили требования к силам и средствам, обеспечивающим безопасность компании. Осталось понять, как оценивать их эффективность. То есть, измерить характеристики текущего состояния.

·        Стандартизация и унификация 

Компании холдингового типа в процессе своего развития, поглощают и интегрируют в свою структуру другие предприятия, зачастую сохраняя или незначительно изменяя их внутреннюю иерархию. 

В результате появляются несколько локальных служб безопасности, каждая из которых по-своему строит работу, представляет и предоставляет ее результаты. В таких условиях затруднительно оценить эффективность их деятельности или сравнить между собой.

Наиболее правильным путем представляется стандартизация и унификация работы всех структурных подразделений, для чего разрабатывается единые (на всю группу компаний) локальные нормативные документы, например, такие как:

– Политика обеспечения безопасности (можно общую, можно раздробить на: экономической, физической, информационной).

– Процедура проведения корпоративных расследований (основания для инициации, содержание, результаты, права и обязанности участников).

– Регламент расчета и классификации убытков для целей корпоративных расследований (совместно с финансистами для обеспечения корректности и достоверности отчетов).

            Определяется основной формат активности – корпоративное расследование, а также требования к нему. 

Создается База данных корпоративных расследований (БДКР), куда заносятся все проводимые и завершенные расследования, а также сведения, необходимые для контроля и анализа (период проведения, кто проводил, кто фигурант, где произошло, выводы и рекомендации, реализация корректирующих мер).

Устанавливается требование о занесении в БДКР всей первичной информации, не зависимо от источника ее получения и достоверности, а также результатов проверки. То есть внедряются элементы инцидент-менеджмента.

            В результате выстраивается единообразная стройная и логичная система   работы.

            Деятельность подразделений, занимающихся обеспечением физической охраны и информационной безопасности так же приводится к единым нормативным и организационным требованиям.

·        В чем измерять

Служба безопасности – сервисная функция, т.е. вспомогательная, помогающая бизнесу…  Казалось бы, если коммерсанты довольны, значит, все хорошо. И руководители подразделений безопасности частенько в качестве подтверждения собственной эффективности предъявляют положительную обратную связь от местных бизнес-лидеров, но последние порой просто не могут ни сформулировать задачи для функции безопасности, ни объективно оценить итоги их работы. 

Как-то, отвечая на мой вопрос о задачах, руководитель макрорегиона крупной федеральной компании ответил: «Сделай так, чтобы не воровали…», на замечание, что это невозможно, добавил: «Тогда, пусть воруют меньше».

Более того, на практике, самые лучшие отзывы получают «безопасники», подменяющие собой коммерсантов на отдельных проблемных участках -«решалы», но при этом, глубоко и искренне не понимающие содержание бизнес-процессов и потому, не препятствующие неправомерному обогащению недобросовестных сотрудников и контрагентов. 

Тем не менее, служба безопасности может и должна оказывать влияние на EBITDA, сокращая ее затратную часть, путем возмещения ущерба, предотвращения потерь, а также неэффективных расходов.  

Поскольку EBITDA измеряется в деньгах, именно в них следует определять цели СБ и измерять эффективность ее работы.

·        Куда целиться

Обычная, принятая в большинстве компаний классификация, предусматривает три вида убытков: выявленный, возмещенный и предотвращенный. 

Исходя из нее, верхнеуровневые цели СБ можно сформулировать, как:

– Выявление ущерба, нанесенного в результате противоправной деятельности, неэффективности или уязвимости бизнес-процессов;

– Возмещение уже нанесенного ущерба (убытка);

– Предотвращение возможных потерь, включая упущенную выгоду и сохранение выручки.

            С учетом специфики и сложившейся практики, показателям может быть присвоено количественное значение в абсолютных или относительных (сравнительных) величинах.

            Желательно, чтобы все подразделения безопасности холдинга имели одинаковые цели. Если специфика дочерних обществ не позволяет этого, то как минимум, выраженные в одинаковых единицах измерения.

·        Как измерять

В результате проведения унификации и стандартизации, все подразделения безопасности подчинены единым требованиям по содержанию работы и ее учету, благодаря чему, мы имеем набор типовых показателей, рассчитанных по единым правилам.  Теперь их можно сравнивать и анализировать.

При этом, важно учитывать некоторые особенности:

– Выявленный ущерб (убыток) – потери, которые наступили фактически. Их очень легко посчитать и подтвердить (акт инвентаризации, справка об ущербе). 

В части утрат материальных (физических) активов, этот показатель может служить косвенным критерием эффективности СБ, так как чем надежнее система безопасности, тем труднее совершить хищение. То есть, чем он меньше, тем лучше, особенно если наблюдается ниспадающая динамика год к году.

В части экономических правонарушений или неэффективных затрат, подобный анализ уже не работает, потому что такие потери не материальны и зачастую не очевидны, не отражены в бухгалтерский отчетности. Более того, для их обнаружения требуются значительные усилия и высочайшее профессиональное мастерство сотрудников СБ. 

 – Возмещенный – активы, утраченные фактически, но, благодаря усилиям СБ возвращенные владельцу. Подсчет и подтверждение бухгалтерскими документами так же не вызывает трудностей.

В части утрат материальных активов, сравнение выявленного и возмещенного убытков формирует коэффициент покрытия потерь. Чаще используется в рознице или логистике. Считается, что, если он превышает 0,6 (из каждых 100 потерянных рублей, возмещено 60 и более), это хорошо.

– Предотвращенный – активы, которые были бы неизбежно утрачены, но сохранены в результате активностей службы безопасности.

Последний – самый сложный в расчете и неоднозначный в восприятии показатель. Потери не наступили, поэтому, масштаб убытка с точностью определить нельзя. Тем более мы достоверно не знаем, какова вероятность наступления самого факта утраты материальных ценностей. Может быть этого бы никогда и не случилось. А если и случилось, было бы потеряно все или только часть? 

То есть, не только величина расчетная, но и вероятность события с точностью не установлена.

При этом, при оценке масштаба предотвращенного убытка, СБ стремиться сделать расчет на основании самого негативного сценария, чтобы повысить ценность своей работы.  Бизнес-функция, потери которой сохранены, напротив, исходит из нулевой вероятности события, либо считает по минимуму, не желая подтверждать недостатки в своих процессах и контролях. Расхождения между такими оценками могут составлять десятки миллионов рублей. 

В дальнейшем, при попытках СБ предъявлять свои расчетные значения предотвращенного убытка, бизнес относится к ним с недоверием, как к виртуальным показателям, не имеющим отношения к реальности, что обесценивает и всю остальную отчетность блока безопасности. 

По этой причине некоторые компании вовсе отказались от учета предотвращенного убытка, но этот путь ошибочен, так как теперь сотрудники безопасности ожидают, пока убыток станет выявленным, чтобы иметь возможность его возместить (теряется профилактика и предиктивность). 

Решением видится согласование с ключевыми бизнес-функциями и финансовой службой порядка расчета предотвращенного убытка, то есть формирование единых, признаваемых всеми участниками процесса, правил. Как вариант, через призму бюджета компании или функции. 

Например, предприятие несло затраты, которые были забюджетированы. СБ доказала, что их можно сократить или обнулить вовсе. Разница между запланированными расходами и фактическими составят экономию – то есть деньги, которые неизбежно утрачены, но сохранены в результате активностей службы безопасности.

Или, наоборот, в связи с некими обстоятельствами, возникает потребность в новых расходах, их размер рассчитывается, а выделение финансирование согласовывается. Функция безопасности в пределах своих полномочий проводит работу, которая помогает сократить или исключить сверхбюджетные затраты. Возникает экономия.

Расчет предотвращенного убытка через бюджетную экономию позволяет с точностью до копейки определить размер сохраненных активов и подтвердить эти суммы бухгалтерскими документами, что повышает прозрачность и достоверность показателей СБ.

После того, как порядок классификации убытков и определения их размера определены и признаются, как достоверные и прозрачные, можно ввести показатель, отражающий эффективность работы СБ.

·        Как оценивать

В качестве ключевой метрики эффективности СБ, предлагается использовать «Экономический эффект» (ЭЭ), определяемый, как сумма возмещенного и предотвращенного убытков. 

В дальнейшем, это показатель можно сопоставлять:

– с затратами на безопасность       

– с выявленным убытком (в ритейле):

Введение единого и объективного показателя (ЭЭ), кроме того, позволяет провести ранжирование сотрудников внутри СБ (накопительным итогом за год):

… или в моменте (по состоянию на текущий месяц), а также индивидуальный вклад каждого в результаты службы:

Расчет затрат компании на текущий месяц определяется как отношение усредненного годового ФОТ на 1 сотрудника к количеству месяцев в году, умноженное на порядковый номер текущего месяца: ФОТ1 / 12 х N,

где N – порядковый номер месяца (январь -1, февраль-2,.. ноябрь-11).

            Например, специалист СБ получает на руки зарплату в размере 60 000 руб. Сумма налоговых, страховых и прочих отчислений составляет округленно 40 %. Итого работник стоит компании 100 000 руб. в месяц или 1 200 000 руб. в год.  Чтобы определить затраты предприятия на его содержания по состоянию на июнь 1 200 000 /12 х 6 = 600 000 руб. Таким образом, для достижения Порога рентабельности показатель ЭЭ данного работника так же должен составлять 600 000 руб.

            Если показатели сотрудника расположены левее Порога рентабельности, значит на сегодняшний день он получил от компании больше, чем принес ей пользы.  Однако, чтобы принять решение о необходимости корректирующих мер, руководителю службы необходимо учитывать содержание и ожидаемый результат, проведенных этим специалистом мероприятий, так как эффект от работы СБ может быть отложенным во времени.  Тем не менее уже к исходу первого полугодия, желательно, чтобы все члены команды показали, хотя бы нулевую рентабельность, а далее только положительную.

Текущее ранжирование целесообразно доводить до подчиненных хотя бы один раз в неделю. 

Чтобы не перегружать коллектив управленческим воздействием, в некоторых компаниях используется формат еженедельного дайджеста службы безопасности, куда включаются новости службы, лучшие практики, указания и распоряжения общего характера и, конечно, результаты работы службы.

Так же по значению экономической эффективности можно анализировать динамику работы СБ год к году:

Для сравнения подразделений безопасности между собой можно использовать среднее значение ЭЭ на одного сотрудника:

В результате предлагаемых мер, образ результата должен выглядеть так:

Активности службы безопасности, не имеющие денежного выражения, такие как применение мер дисциплинарного воздействия, увольнения, подача заявлений в правоохранительные органы, возбуждение уголовных дел, осуждение сотрудников компании, либо третьих лиц, учитываются в БДКР, но на ранжирование сотрудников и подразделений не влияют. Рассматриваются, как инструменты для достижения экономического эффекта и характеристику активности работника.

 Для кейсов или расследований, в результате которых внесены изменения в нормативную базу, бизнес-процессы или митигирован системный риск, если при этом невозможно точно определить его стоимость или размер предотвращенного убытка, может быть введен дополнительный признак, проставляемый вручную, который также будет учитываться при ранжировании. Например, «Значимое расследование» решением Директора по безопасности по представлению руководителя направления ЭБ, что, конечно, привнесет небольшой элемент субъективности, но станет меньшим из зол.

Подразделениям, не задействованным в проведении корпоративных расследованиях – физической охраны (ФО) и информационной безопасности (ИБ), установить прямое влияние на EBITDA не представляется возможным, так как затруднительно достоверно оценить размер потерь в случае их упразднения или неэффективной работы.  

При фиксации нарушений, связанных с попытками хищения материальных средств, путем их неправомерного проноса через ограждение, либо пункты пропуска, материалы передаются в подразделение экономической безопасности для проведения расследования и оценки достаточности существующих мер по учету товарно-материальных средств, а также, при необходимости, передачи в правоохранительные органы.

Аналогично при возникновении угроз информационного характера, специалисты ИБ пресекают враждебную активность имеющимися аппаратными и программными средствами, после чего также информируют подразделение экономической безопасности.

В результате, все факты негативных и опасных действий, фиксируются в БДКР и анализируются для выявления и описания рисков, выработки рекомендаций по совершенствованию бизнес-процессов или локальной нормативной базы.

            Показатели возмещенного и предотвращенного убытка, достигнутые в результате расследований по фактам, выявленным ФО или ИБ попадают в общую отчетность СБ и влияют на P&L (соотношение затрат и доходов) всей службы.

            Таким образом, работа службы безопасности оценивается по показателю Экономическая эффективность, а изменение его значения год к году характеризует динамику состояния защищенности.

            В настоящей статье содержится лишь один из элементов авторского подхода, который подробно изложен в книге «Как обеспечить безопасность предприятия, если Вам лень этим заниматься».

Алексей Швецкий, член ICSA (Международная Ассоциация Корпоративной Безопасности), Директор по безопасности ТС “Гулливер”