Корпоративная безопасность – не академическая дисциплина и привязана к конкретной отрасли, к конкретной компании, к конкретному руководителю по безопасности и только относительно недавно стала выделяться как отдельное направление в бизнесе для стратегического планирования и преподаваться как дисциплина в ряде высших учебных заведений. Более того, есть разные мнения на виды существования корпоративной безопасности В некоторых компаниях считают, что корпоративной безопасностью должны заниматься конкретные подразделения (которые так и будет называться – служба безопасности), в других следуют подходу, что корпоративная безопасность – это дело каждого работника, каждого подразделения по которым распределены специфические зоны ответственности и управления рисками. Встречаются так же компании где комбинируют разные формы корпоративной безопасности.

Но в любом случае не стоит забывать, что «безопасность» это в первую очередь «сервис поддержки» бизнеса и развиваться она должна в том же направлении что и бизнес. Из этого следует достаточно широкий спектр принципов. Например, если Стратегия компании рассчитана с горизонтом три-пять лет (что характерно для крупных компаний, с длинными инвестиционными циклами и проектами развития), то и стратегия корпоративной безопасности должна придерживаться подобного подхода.

При формировании Стратегии Корпоративной безопасности главный вопрос в том, чтобы стратегия корпоративной безопасности представляла из себя целостную «программу развития безопасности бизнеса», которая отвечает актуальным вызовам и действительно вносит вклад в устойчивость и развитие компании. Для формирования Стратегии развития корпоративной безопасности, стоит принять во внимание ряд важных аспектов:

– оценка рисков и риск-менеджмент как таковой;

– накопленные статистические данные и их аналитика;

– бизнес-процессы компании;

– имеющиеся и необходимые ресурсы корпоративной безопасности;

– корпоративная стратегия или бизнес-план

– способы по управлению рисками.

– имеющиеся полномочия

Чаще всего корпоративная безопасность, как подразделение, сосредоточено на трех направлениях:

• корпоративное мошенничество (в т.ч. коррупция и воровство)

• обеспечение безопасности физических объектов от различного типа угроз

• информационная безопасность

Однако, это не значит, что другие риски должны игнорироваться, даже если их управлением занимаются другие функции. Более того, опыт показывает, что проблемы редко имеют одну «причину». Например, нарушение добросовестной конкуренции не редко связано с коррупционными рисками. А корпоративное мошенничество может привести к мероприятиям по защите коммерческой тайны и конфиденциальной информации.

Вот почему оценка рисков и формирование контролей – это «краеугольный камень» любой стратегии по корпоративной безопасности и ключевой элемент деятельности любой корпоративной безопасности. Такое «упражнение» иногда напоминает американские горки, когда соответствующие эксперты то погружаются в детали и скрупулёзные расчеты, то «взлетают» чтоб еще раз получить возможность масштабной и нестандартной оценки. Именно выявление рисков, т.е. их идентификация, получение информации об актуальных угрозах и их детальное описание – один из самых сложных этапов риск-менеджмента.

Для того, чтобы оценка рисков в области безопасности действительно имела практический смысл для бизнеса не стоит совершать одну из самых частых ошибок – это подмена конкретного плана мероприятий «лозунгами», причем оторванными от того, чем бизнес «живет» каждый день (Например: риск корпоративного мошенничества. Способ управления риском – борьба с мошенничеством и минимизация угроз хищений. Это лозунг, не имеющий под собой никакой практической ценности для компании). Поскольку бизнес  живет конкретными потерями в деньгах, затратами на обеспечение исполнение принятых обязательств перед клиентами и даже перед своими акционерами и собственниками, движением ТМЦ и денег, то и оценка рисков которыми управляет Корпоративная безопасность должна быть четко связана с теми процессами где есть движение продукции, ТМЦ, денег или информации (иное в зависимости от отрасли), необходима четкая идентификация этапов в процессах где возможна утрата ТМЦ, продукции, денежных средств или информации и необходимо детальное описание тех инструментов в виде контролей, которыми Корпоративная безопасность планирует управлять этими рисками, снижая угрозу их наступления.

Стратегия корпоративной безопасности позволит четко понять, где стоит приложить наиболее активные усилия, а какие мероприятия можно перевести в режим «лайт» или даже просто принимать риски. Какие для этого необходимы ресурсы, что для минимизации ключевых угроз в компании необходимо поменять в Корпоративной безопасности. Ведь ресурсы не безграничны (особенно сейчас, когда «бюджеты» активно «ужимаются», а команды «усыхают»). Более того, не стоит боятся обсуждать с акционерами, собственниками, советом директоров и руководителем задачи для службы безопасности, kpi и проекты. Часто высший менеджмент просто не понимают тех или иных аспектов безопасности и «нуждаются» в детальных пояснениях. Это касается и соблюдения важного баланса между поставленными задачами, взятыми обязательствами и предоставленными компанией и руководством ресурсами. Важно, чтобы был баланс. В противном случае при недостатке ресурса функция безопасности не в состоянии выполнить взятые на себя обязательства. А что делается с партнерами при неисполнении взятых на себя обязательств? Расторгаются все соглашения….  Причем под ресурсами в самом широком смысле понимается: и финансовые бюджеты и конкретные программные продукты, и резервы на обучение, и структура с людьми. Не стоит забывать и про необходимые полномочия для выполнения взятых на себя обязательств. и  вполне обоснованно претендовать на расширение своего «мандата». Например, если в kpi стоят нормы по потерям следует заявить о необходимости включения в соответствующие комиссии или цепочки согласований, а также потребовать соответствующие права доступа к тем или иным информационным модулям. Главное, чтобы был соблюден баланс между обязательствами и полномочиями. Поскольку менеджер, наделённый слишком большими полномочиями с маленькими обязательствами так же плохо, как и менеджер с большим объемом обязательств и маленькими полномочиями

Важно отметить, что kpi могут быть как с прямым влиянием функцией безопасности, так и с косвенным. И в последнем случае не стоит воспринимать такую ситуацию «в штыки» поскольку все функции бизнеса работают на один результат – прибыль и рост бизнеса, но каждая функция по разному влияет на эти важные цели.. С точки зрения, например, совета директоров, в этом нет ничего плохого и важно научиться кросс функциональным взаимодействиям. Более того, это стимулирует командную работу на общий результат. Однако, в этом случае стоит подумать и не забыть согласовать с ключевыми участниками стандарты взаимодействия, например в форме SLA^[1], где оговариваются форматы коммуникаций, сроки выполнения тех или операций или принятия управленческих решений. Но не стоит «зацикливаться» только на финансовых kpi. Показателями эффективности могут быть и статусы по реализации тех или иных проектов (т.н. проектные КПЭ) , которые направлены как правило на автоматизацию деятельности корпоративной безопасности. Это могут быть автоматизации контролей по управлению рисками, это может быть автоматизация деятельности сотрудников безопасности, это могут быть иные программные решения, позволяющие корпоративной безопасности осуществлять контроль и управление различными рисками, то есть по сути создание контролей и их автоматизация – это может быть КПЭ для корпоративной безопасности.

Немаловажно в текущих условиях и то, что специалисты по безопасности должны активно учиться, в том числе получать и бизнес-образование. Не стоит «сидеть» на знаниях и опыте двадцатилетней давности или приобретенном во время «службы в органах». Сегодня выпускники ВУЗов кафедр экономической безопасности и управления рисками наступают на пятки тем, кто пришел в корпоративную безопасность «со службы». Сейчас отрасль корпоративной безопасности уже не «гавань» для отставных силовиков, а развивающаяся отрасль и часть бизнеса, которая требует образованных, мыслящих и креативных менеджеров и специалистов, нежели «просто хороших парней». Кроме этого, следует оглянуться по сторонам и позаимствовать лучшие практики из других отраслей. Традиционно, в области корпоративной безопасности сильны компании кредитно-финансовой индустрии и ритейла, а также большие компании промышленного сектора

Однако кроме профессиональных знаний не стоит забывать и про т.н. soft skills. Более того, одна из ключевых задач руководителя корпоративной безопасности – это построение собственного профайла среди коллег и руководства, причем именно как «менеджера», который умеет мыслить критически и нестандартно, который создает конкурентные преимущества, может быть лидером и ролевой моделью конкретного культурного кода .  В конце концов по руководителям судят и о самой компании.

^[1] Service level agreement, т.е. соглашение об уровне поддержки, которое с одной стороны гарантирует «клиенту» и партнерам определенный уровень исполнения принятых обязательств, так и позволяет «провайдеру» объективно управлять процессом и влиять на результат.

Автор: Сергей Матвеев и Михаил Черников

Материал подготовлен по результатам стрима на телеграмм-канале «Клуб корпоративной безопасности»