Уверен, все коллеги по цеху стремятся построить эффективную функцию безопасности, сделать ее результативной и полезной. Каждый предлагает свой рецепт, свою формулу успеха. Кто-то говорит про стратегию, кто-то про риски, кто-то про личность руководителя СБ. И каждый, безусловно, прав.

В вопросе построения эффективной функции, как и любом проекте, нужно двигаться от общего к частному (начинай, представляя конечную цель). Как в бизнесе: сначала рождается бизнес-идея, потом – бизнес-план. 

Корпоративная безопасность – часть бизнеса и развивается в его русле и по его законам. Поработав в разных компаниях, посмотрев, как организована безопасность в России и за рубежом, делаю вывод, что единого универсального решения, подходящего всем, нет.

Перед тем, как что-то планировать и тем более строить, необходимо, как в оперативной работе, оценить оперативную обстановку на объекте курирования: ответить для себя на вопросы, каковы риски, какова стратегия компании, как принимаются решения, есть ли у компании ценности и как они сформулированы. 

Даже самый успешный и опытный эксперт в области реализации внутрикорпоративных проектов потерпит поражение, если он не будет созвучен компании. Необходимо слышать организацию и строить свою работу в соответствии с ее особенностями.

Важным элементом оперативной обстановки является среда. Это ценности и культурный уровень развития организации. Каждая организация финансово растет, а вместе с этим эволюционирует в культурном и ценностном отношении. Оценивая важность культурной среды, должен упомянуть ставшую общим местом фразу Питера Друкера о том, что культура ест стратегию на завтрак.

Не претендуя на полноту и научную достоверность, опираясь только на свой опыт, замечу, что многие процессы в компании зависят от корпоративной культуры, которая, в свою очередь, взаимосвязана с психотипом, ценностным уровнем ее лидера, его «тоном сверху». 

Руководство компании задает тон и предлагает инициативы. Нужно, чтобы они органично сочетались с экономической ситуацией и ожиданиями инвесторов, а также возможностями исполнителей.

Например, в 2018 году ставший генеральным директором General Electric Ларри Калп вернул в корпоративную культуру General Electric принципы Lean, бережливого производства. Это то, что было изобретено и опробовано давно, задолго до прихода Калпа в GE, и в тот момент могло выглядеть как банальность, но сейчас сделанный в то время фокус на бережливом производстве воспринимается как разворот компании «от презентаций в сторону производства», как своевременно сделанное напоминание, что GE – это не красивые слайды, а в первую очередь, промышленная продукция высочайшего качества.

К сожалению, есть обратные примеры, когда талантливый руководитель топил организацию. В бизнес-литературе, например, в книге Тима Элмора «8 парадоксов эффективного лидера», можно найти такие кейсы.

Психотип лидера и культурный уровень развития компании определяют ее движение. Проект, который реализуется в унисон с этими элементами, имеет большие шансы на успех.

Также и при построении корпоративной безопасности: успешно выстроенная система корпоративной безопасности – это всего лишь правильные средства (пусть и иногда банальные), используемые в правильное время в нужном месте. Чтобы подобрать ключ, нужно правильно определить вертикаль: контекст – лидер и его тон сверху – культура – стратегия – безопасность. 

Эта связка должна работать цельно и конгруэнтно. 

Чтобы тон сверху достигал цели, для начала нужно понимать контекст: на каком уровне развития находится организация, на каком уровне ценностей находятся её руководство и сотрудники, поймут ли они друг друга.

Стратегия, в свою очередь, ложится на культуру, а вместе с организацией и ее ценностями эволюционирует и функция безопасность: на каждом новом витке развития она предстает в ином формате и с иными задачами. 

Давайте порассуждаем, какие этапы проходит в своем развитии организация и как функция безопасность встраивается в структуру компании на каждом их них.

Спиральная динамика

Существует много разных классификаций, описывающих формы и стадии развития компаний.

На мой взгляд, наиболее глубоко понять природу организации, ее философию, ее ценностную эволюцию со всеми вытекающими особенностями помогает теория о «Спиральной динамике развития организаций», основоположником которой стал Клер Грейвс (1914–1986 г.г.).  

Согласно теории Грейвса, все организации эволюционируют в своих ценностях. Достижение более высоких стадий возможно только через прохождение всех предыдущих этапов.

Используя научно-экспертные источники, в частности, сайт https://first-expert.ru/spiralnaya-dinamika/, приведу краткое описание каждого уровня, а от себя добавлю к этому то, каким может быть тон сверху и какой может быть служба безопасности на этих уровнях.

1. Бежевый уровень – выживание

Первый уровень предполагает фокусировку человека только на средствах, необходимых для выживания. Если рассматривать данный уровень с точки зрения формирования организации, то это будет стартап. У основателя компании имеется идея по ее созданию, и он всецело охвачен ею. Следовательно, все его действия направляются на выживание, достижение точки безубыточности. После того, как учредитель научился в определенной степени выживать самостоятельно, у него начинают возникать мысли об объединении с другими людьми. Это можно считать началом следующего уровня. Тона сверху, оформленной системы ценностей на этом этапе нет. Безопасность и комплаенс такой организации еще не нужны: задача простая – выжить любой ценой. 

1. Фиолетовый уровень – создание команды

Его ассоциируют с поиском способа выживания в опасном и непредсказуемом мире. При доминировании данной системы ценностей люди стараются создавать закрытые группы в своем обществе или организации. Как правило, при принятии решения о найме на работу нового сотрудника большинство руководителей отдает предпочтение выбору знакомых, родственников и т. д. Это основано, прежде всего, на страхе выживания в одиночку, поэтому отдается предпочтение людям, с которыми имеется кровная или дружеская связь. Люди, у которых превалирует именно этот тип мышления, привержены традициям, привычкам, ритуалам. В таких организациях появляется явный вожак, стая начинает его копировать. Его тон сверху взывает к семейственности, родственным, товарищеским чувствам, пронизан ритуальностью. Безопасность в такой организации начинает выделяться в отдельное направление. Задачи, решаемые этой функцией, специфические, точечные, без дедлайна и регламентации, часто выходят за рамки этики. 

1. Красный уровень — результативность

После того, как компания на фиолетовом уровне достигла более-менее стабильного положения, у нее возникает желание сместить конкурентов на рынке и занять более выгодное положение. Мышление сотрудников на данном этапе также меняется: у них появляются амбициозные цели, жажда денег и власти.

При доминировании именно этого уровня компания добивается высоких результатов, зарабатывает большую прибыль, завоевывает новые рынки. Что же касается изменений в поведении сотрудников, то они становятся менее щепетильными, теряется чувство вины, преобладает желание властвовать над другими. Часто в этот период в компаниях возникают жесткие кулуарные игры, внутрикомандная конкуренция, манипуляции. Делается все для того, чтобы компания превратилась в империю в своем сегменте.

Тон сверху здесь имеет воинственную риторику и по отношению к конкурентам, и по отношению к своим сотрудникам. Агрессия является одним из основных управленческих приемов. Крут тот, кто ведет себя жестче. Руководитель ведет себя как средневековый полководец на поле боя: личным показывает, как надо колоть врагов. Он считает, что выигранное сражение здесь и сейчас и есть успех. На этом этапе безопасность помогает завоевывать активы, защищать завоеванное, в том числе силовыми методами. Здесь в цене ребята, которые могут «решить» вопрос. Системная работа по профилактике таких вопросов ведется слабо. В основном все заняты микроменеджментом и тушением пожаров.

1. Синий уровень – процессы и KPI

Данный уровень активизируется в тот момент, когда собственник осознает всю ответственность за управление компанией. Этот уровень ассоциируется с дисциплиной, соблюдением законов, установлением четкого внутрикорпоративного порядка. Для определения стандартов деятельности в компанию приглашаются сторонние специалисты и консультанты.

В компании определяется четкая иерархия, создается свод законов и правил, которым все должны следовать беспрекословно, все подчиняется исключительно интересам компании.

На этом этапе начинает кристаллизоваться тон сверху. Руководитель апеллирует к закону, внутренним нормативным актам, жестко ограничивая рамками и себя, и работников. Появляется потребность выстроить и регламентировать процессы – нужен тот, кто систематизирует хаос. Появляется комплаенс: создаются политики, кодексы; формализуются бизнес-процессы, безопасность встраивается туда, определяет риски, контрольные точки. Игра идет по правилам, все им следуют. Тот, кто не следует, становиться объектом проверок. Руководство поддерживает эти процессы, показывает пример.  

1. Оранжевый уровень – управление и эффективность

После того, как компания вобрала в себя лучших работников, сформировала свои правила и законы, научилась делать хорошую прибыль, начинается формирование пути к успеху. На оранжевом уровне просыпается желание прогресса и повышения эффективности. Именно в этом периоде компания приобретает настоящие предпринимательские качества. У сотрудников формируются навыки виденья новых возможностей и способов достижения новых результатов. Приобретается умение быть эффективными. У сотрудников повышается индивидуальная мотивированность, они привыкают быть первыми, повышается ориентированность на развитие личной карьеры и роста. Приоритетным становится получение большего материального вознаграждения. Процесс управления такими сотрудниками усложняется, и сделать это будет под силу уже руководителю более высокого уровня.

На этом этапе процессы, связанные с комплаенс и обеспечением безопасности, работают, инфраструктура безопасности достраивается, совершенствуется, но через призму экономического эффекта. В тоне сверху сохраняется ориентация на нормы права, но поскольку уже все зарегламентировано так, что бизнес утрачивает гибкость, звучат призывы критически смотреть на регламенты, упрощать их, выходить за рамки буквы. Безопасность ориентируется на борьбу с потерями, фокусирует свои усилия не на мелочах, а на наиболее финансово ёмких зонах. Ставится под вопрос численность СБ: действительно ли при работающих процессах необходима столь многочисленная, как на синем и красном уровнях, группа «решал» и «контролеров».

1. Зеленый уровень – ценности и единая команда

В этот период компания становится по-настоящему аутентичной, формируется ее главная миссия. Это означает, что у всех сотрудников компании появляется четкое осознание того, ради чего они осуществляют свою деятельность.

Формируется перечень ценностей, ради которых компания существует и ради которых ее сотрудники ежедневно приступают к выполнению своих обязанностей. У человека (сотрудника или руководителя) проявляется социальная ориентированность, он ищет согласие не только со своим внутренним «Я», но и с другими людьми. В большей степени проявляются внутренние возможности, обновляется гармония и духовность, возникает осознание социального равенства в единении с самореализацией. Довольно часто этот уровень путают с фиолетовым. По утверждению авторов теории, перепрыгнуть на зеленый уровень невозможно без поэтапного прохождения всех предыдущих шагов.

Закладываются основы горизонтальных связей и группового взаимодействия. Именно на этом этапе можно применять такие понятия как «команда» и «единомышленники». Главный акцент делается на построение эффективных взаимоотношений и диалога. Любые решения принимаются только путем достижения общего соглашения. Главным для такой компании становится понятие «Мы».  

На зеленом уровне заканчивается первый порядок мышления спирали, главной характеристикой которого является фокусировка на приоритетности достижения личностного уровня. При этом, ниже или вышестоящие уровни игнорируются или осуждаются.

На этом уровне фокус тона сверху при сохранении общей культуры соблюдения норм (комплаенс максимально важен, критичен) смещается в сторону человека, сотрудника. Работник воспринимается как главная ценность, актив. В таких компаниях низкая текучка и высокий уровень личной ответственности за выполняемую работу. Безопасность плотно «зашита в ткань» организации и помогает поддерживать баланс, управлять рисками, предотвращать кризисные явления, делает акцент на непрерывность. Ключевая фраза, определяющая оптимальный формат работы Security на данном уровне: «СБ не видно, но все чувствуют ее поддержку».

Как правило, компании и лидеры остаются на синем, оранжевом, максимум зеленом уровне. Дальше идут единицы.

1. Желтый уровень – интегральный уровень

Человек, достигший этого этапа развития, обычно выходит из шаблонности предыдущих типов мышления, а также может легко переключаться и вести разговор на ценностном уровне предыдущих ступеней. Это яркое проявление гибкости мышления, принятие разнообразия мира без оценочных суждений. Другими словами, они могут как опускаться, так и подниматься на любой из уровней мышления первого порядка для того, чтобы найти и применить наиболее оптимальный подход в каждой конкретной ситуации. Для человека на этом этапе важнее всего возможность самореализации, ощущение миссии, а не статус в обществе. Организации, находящиеся на этом уровне, развиваются за счет развития своих членов.

На этом уровне безопасность, вобрав в себя все лучшее с предыдущих этапов, работает, самостоятельно адаптируясь к внешней среде и запросам. Сотрудники СБ говорят и с бизнесом, и с правоохранителями, и – если нужно – с жуликами на одном языке. На мой взгляд, на этом уровне тон сверху как таковой уже становится неактуальным, так как работники способны ответственно работать и развиваться в полной автономии, сознавая красные линии.

1. Бирюзовый уровень — самоуправление

Холистический уровень, на котором приходит осознание единства мира и важности каждого человека как части сложной системы, его уникальности. Люди на этом этапе мыслят и действуют в глобальных масштабах ради общего блага, а не собственной выгоды. Считается, что характерным для бирюзовых компаний является применение внутреннего консультирования, в котором должен принимать участие весь коллектив. Роль руководителя в таких компаниях отождествляется скорее с ролью наставника, а не контролирующего тирана. Процесс функционирования можно назвать контролируемым самоуправлением. При этом каждый сотрудник четко осознает свои обязанности и ответственность, что и позволяет компании осуществлять свою деятельность на принципах эффективного самоуправления.

Пока не ответил для себя на вопрос, как выглядит безопасность там… На этом этапе тона сверху нет, есть внешний тон: тон клиента, тон планеты, который определяет деятельность организации. Вопрос: нужна ли на этом уровне безопасность?

Думаю, что на этом спираль не заканчивается – возможно, дальше есть и другие цвета, содержащие оттенки более низких уровней.

Практическое применение теории

Чтобы построить безопасность, нужно понять контекст, стратегию, а уже затем приступать к анализу рисков и формулированию мер.

Если вы на «красном» этапе, «зеленая» безопасность вам явно не подойдет. И, наоборот, если вы на «зеленом» этапе, «красные» методы обеспечения безопасности будут душить бизнес.

Собственнику нужно ответить себе на вопрос, «где вы в культурном плане», «какие риски вы видите», «нужна ли вам безопасность и что вы от нее ждете», «какой сигнал, какой «тон сверху» она поможет вам донести».

Безопасность также эволюционирует. Чем выше организация, тем выше понимание задач и тактики безопасности.

Потенциал безопасности раскрывается по мере роста и созревания организации: «решала» – на красном уровне, «аналитик» на оранжевом уровне, «бизнес-партнер» на зеленом уровне. 

Раскрытие потенциала безопасности не тождественно количественному росту команды «безопасников» и росту круга решаемых СБ задач. На более высоком уровне организации задачи безопасности могут быть распределены между функциями. Когда процессы работают, не важно, куда они встроены.

Итак, функции комплаенс и безопасность эволюционируют вместе с организацией и ее руководством. Более того, они способны сами влиять на выход организации на новый ценностный уровень, убеждая собственника и генерального директора в необходимости тех или иных мер.

Приведу конкретные примеры командных решений: того, как руководство организации, комплаенс и СБ могут совместно выстраивать культуру безопасности и соблюдения норм.

Оговорюсь, что командные решения должны подбираться по цвету группы, на которую они ориентированы. Перед тем, как внедрять что-то, важно провести этический аудит, понять, какой метод необходимо использовать.

• На производственных предприятиях видел практику размещения в публичных местах сводок о нарушениях с указанием виновных (компрометация виновных в глазах коллектива, своеобразное коллективное порицание и перевоспитывание). Такой инструмент явно не подойдет для топ-менеджмента, но работает для рядовых сотрудников на производстве, которые относятся к «фиолетовым» группам.
• В зрелых организациях «синего» цвета безопасность организована через установление системы контролей, когда расписываются бизнес-процессы, анализируются риски на каждом этапе бизнес-процесса и под каждую уязвимость подбирается контрольная точка, мера защиты, а руководству в форме структурных отчетов доносится информация о результатах работы таких систем. Нет смысла пытаться внедрить это на фиолетовом уровне или, напротив, предельно жестко заковывать себя в процессы, когда организация уже шагнула дальше синего этапа.
• Комитет по корпоративной безопасности с участием высшего руководства – совещание, где совместно обсуждаются корректирующие меры, коллективно определяется политика в области корпоративной безопасности – используется внутри «зеленых» компаний, где ценится диалог. В «красных» организациях такое склонение перед бизнесом, напротив, будет восприниматься как слабость.

Уверен, что наши читатели, пользуясь описанием каждого уровня спиральной динамики выше, приведут и свои примеры организации работы СБ, распределив их по цвету.

Хотел бы подчеркнуть, что меры разного цвета могут работать в совокупности и внутри одной компании, будучи ориентированными на разные категории персонала и разный контекст.

Оперируя знаниями о спиральной динамике, можно, в том числе, эффективно влиять на руководство, вовлекая его в процесс, показывая ценность следующего спирального витка. Конечно, построение культуры принятия решений – это не совсем задача СБ, а скорее операционного директора, HR, но СБ свою лепту тоже может внести. Если руководство готово слушать и двигаться дальше, то у нас вполне может получиться.

На практике столкнулся с примером, когда собственник сервисной организации описывал директору по безопасности его задачи примерно следующим образом: «Мне нужен мобильный, способный в условиях крайне сжатых сроков строить работу специалист. У нас появляется новый объект – нужно через 24 часа быть там и организовывать физическую безопасность». Первоначально, после этой фразы, сложилось впечатление, что объект появляется неожиданно, в результате каких-то скрытых от общих глаз усилий. Потом выяснилось, что объект возникает в результате выигранного компанией тендера, а на этапе подачи коммерческого предложения проектная команда сама, без СБ дает примерную оценку затратам по линии безопасности. Получалось так, что команда Security не была полноценно информирована о проектах и вовлечена в расчет затрат, а ставилась перед фактом. Директору по безопасности нужно было лишь продемонстрировать открытость, встроиться в бизнес-процесс и отработать свою часть, чтобы ему не приходилось решать задачи с нуля в условиях сжатых сроков. Очевидно, что в данном случае собственнику в его мировосприятии и ожиданиях от СБ нужно было от красного уровня шагнуть к синему: от пожаров к процессам, осознать, что системная работа в безопасности эффективнее, чем тушение пожаров, хотя тушение пожаров всегда более драматично и оставляет ощущение подвига.

 Заключение

• Безопасность эволюционирует вместе с организацией. Безопасность необходимо обеспечивать правильными методами, подбирая свой инструментарий для каждого этапа и группы сотрудников. Руководителю СБ нужно правильно оценивать себя, свою компанию и ее сотрудников, чтобы правильно выстраивать функцию и достигать результата.
• Вовлекать руководство компании в вопросы комплаенс и безопасности нужно, также используя индивидуальный подход: видя, что исповедует руководство, и предлагая комфортные для него прогрессивные решения.
• Нужно видеть следующий виток спирали, развиваться, сознавая и адекватно используя сильные стороны всех уровней спирали, чтобы представлять ценность как специалист и реализовать свою профессиональную миссию.

Автор: Роман Владимиров, эксперт по безопасности, член ICSA