Стратегия компании — это комплексный план управления, который должен укрепить ее положение на рынке, обеспечить координацию усилий всех подразделений, привлечение и удовлетворение потребителей, успешную конкуренцию и достижение глобальных целей.

Звучит как магия – некий документ, будто древний манускрипт, с заклинанием на успех предприятия. На деле же – всеобъемлющий, скрупулезно сформированный и проработанный трактат, разработанный с участием и синхронизацией всех ключевых подразделений. 

Из Стратегии компании ручейками вытекают более детализированные и прикладные документы – Стратегии функциональных направлений. Здесь супер-цели каскадируются и распадаются на более осязаемые сущности. С одной стороны, эта информация не является новостью ни для кого. 

С другой стороны, кто из вас лично видел, читал, разрабатывал, защищал хотя бы одну Стратегию функции корпоративной безопасности?! Я не удивлюсь, если о таком документе в принципе никто даже не слышал и не задумывался о его необходимости. Ответом на вышеперечисленные вопросы с максимальной вероятностью будет следующая пачка вопросов: «А зачем? Ведь Безопасность или выполняет конкретные поручения CEO, или самостоятельно своими «абсолютно секретными» методами выявляет и пресекает противоправные действия злоумышленников. И вообще, зачем какие-то документы, трудности, формальности, если «никто, кроме нас» не может больше выполнять эту функцию. Если есть запрос – покупайте и спите спокойно. Чем больше купите безопасности, тем спокойнее будете спать. А без нас все разворуют, даже производство вынесут.

Туше́! Подумаем об этом позже, а сейчас вернемся в рутинные и скучные процессы компании. В течение года, а то и пары лет, все топ-менеджеры со своими командами, консультантами, как и положено – в муках, рождают Стратегию на 3-5-7 лет. Приходит время формировать KPI на следующий год, и все функции получают цели – конкретные, измеримые, достижимые и значимые. Что получают «безопасники»?! Правильно, ни-че-го. «Безопасники» сами ставят себе цели, совсем не обязательно конкретные, измеримые… ну вы поняли.

Коллеги, загляните в свои KPI и ваших подчиненных. Что там? Провести N проверок финансово-хозяйственной деятельности подразделений. Смонтировать N видеокамер. Снизить уровень просроченной дебиторской задолженности. Принять участие в плановых инвентаризациях и провести N внеплановых инвентаризаций. Проверить факты выставления претензий по нарушениям договорных обязательств. 

По итогам года все получат 100% бонус, а если выстрелит громкое дело, то и премии. Говорить о развитии функции нет смысла, ведь все и так замечательно. Нам не то, что цели не ставят, эти глыбы менеджмента с дипломами лучших отечественных и зарубежных университетов и бизнес-школ даже не знают, как правильно задать нам вопрос по уровню сервиса. 

Хорошо это или плохо – в каждой компании свой ответ. Почему так происходит – потому, что нет развития функции, нет свежей крови, нет новой экспертизы. Основным показателем эффективности функции исторически является количество возбужденных уголовных дел, направленных в суд, привлеченных к уголовной ответственности и т.д. Знакомые формулировки откуда-то из прошлой жизни большинства читающих эти строки. Но это совсем другая история, нужно есть слона по частям.

Предлагаю считать, что вы дочитали сказку до камня на перепутье: «Направо пойдешь – коня потеряешь…». 

Первый вариант: велика вероятность, что вы узнали много из описанного выше и категорически не согласны с тезисами. В принципе, чтобы не потерять ни коня, ни себя, вполне логично нажать уютный крестик в правом верхнем углу экрана, то есть не выбрать никакое из предложенных направлений – остаться на месте. Но как мы знаем: тот, кто не развивается в конечном счете отстает.

Второй вариант: все вышеперечисленное вам знакомо, и вы от этого избавились/избавляетесь. Другими словами, вы уже стояли у этого камня на перепутье и выбрали какое-то из направлений, не испугавшись угрожающих надписей. Строите свою корпоративную безопасность будущего, набиваете шишки, но двигаетесь вперед.

Третий вариант: ничего нового в болях самоопределения функции безопасности и интеграции в корпоративную культуру бизнеса вы не узнали, но таблички у камня на перепутье такие страшные, «вот бы кто-то уже прошел этот путь, а мы купим карту в Роспечати».

Осилит дорогу идущий. Далее будет много текста, но иначе это бы походило на фантастические зарисовки, ничем не подкрепленные лозунги и породило бы только призывы сжечь на костре.

Предпосылки формирования Стратегии развития функции корпоративной безопасности в компании.

• Однажды владелец бизнеса задает вопросы: «Что делает служба безопасности? Какой вклад вносит в достижение супер-цели? Как измерить этот вклад? И вообще, почему их так много?».
• Однажды ответы директора по безопасности не устраивают владельца бизнеса.

При наступлении двух «однажды» безопасность или лопается как мыльный пузырь, или начинается конструктивный диалог.

Если не усложнять, то все сводится к тому, что владелец компании, наконец, задает единственно верный вопрос «Какие у нас есть риски и какими контролями мы их закрываем?». Сразу уточнение: не ВЫ, а МЫ. Функция безопасности – партнер бизнеса, не надстройка, даже если это аутсорсинг, то максимально интегрированный через владельцев процессов внутри компании.

Правильный вопрос владельца компании потому и правильный, что на него невозможно сходу ответить, не получится и показать привычную excel-табличку с результатами. Пока без разъяснений, но просто поверьте, что правильным ответом для владельца может быть «Вот карта рисков и контролей с подробным описанием». 

Карта рисков и контролей – азбука построения системы корпоративной безопасности

Предлагаю сразу начать с конца, потому что сначала нужно увидеть картинку и только потом, возможно захочется читать много букв.

Представим, что команда безопасности, с лидером которой собственник уже провел интересный диалог, неплохо поработала и владелец компании видит результат.

На одном слайде видно, к каким процессам мы уже отнеслись, а какие еще не затронуты. 

Спустившись на уровень ниже, появляется детализация.

За красивыми картинками кроется титанический труд всех без исключения членов команды безопасности, а также экспертов от бизнеса. Есть несколько ключевых подходов к бизнес-анализу, мы не будем задерживаться на методологии, но посмотрим, какие простые действия и их системное выполнение приводят к желаемому результату.

Если по-простому, в итоге мы получаем огромный excel-файл с детальным описанием интересующих нас бизнес-процессов, на которые наносим все то, что считаем угрозами бизнесу: результаты расследований, гипотезы по оперативной информации. Далее присваиваем угрозам степень опасности. Как? Коллеги, на первоначальном этапе интуитивно! Ведь (здесь уже применимо) «никто, кроме нас». По результатам расследований, на основе выявленного ущерба или формируем гипотезы. 

В компаниях, где существует процессный подход бизнес-анализа, задача существенно облегчается – здесь в уже готовое описание необходимо добавить риски и контроли.

Сейчас должна последовать бурная реакция, но сразу же поделюсь инсайтом: если вы отметили максимально высокую степень риска этапу процесса, то при проработке контроля можете осознать, что риск не такой уж критический (например, по результатам аналитики за последние 1-3 года таких фактов не было). Смело красим риск в зеленый цвет и идем дальше по «красным» рискам. Размытая и одновременно ужасающая картина будет приобретать конкретные очертания, отражающие реальное состояние безопасности процессов компании.

Следует отметить, что матрица рисков и контролей – это скорее не проект, а процесс. То есть он должен существовать непрерывно и циклично. Здесь очень хорошо ложится модель PDCA (P- plan, D – do, C – check, A – act). Одни риски перестают существовать, другие закрываются контролями, в то же время параллельно бизнес меняет свои процессы и возникают новые угрозы. Также никто не отменял результаты проверок и расследований, которые сигнализируют об угрозах, о которых ранее никто не знал.

Не забываем указать все контроли. В процессе самопознания вы очень вероятно можете выяснить, что сотрудники ответственно и регулярно в ручном режиме осуществляют контроль по предотвращению низкого риска, и ни на что другое времени у них больше не остается, разве что на запросы от правоохранительных органов – это святое. В данном случае в результате расследования выйти на самих себя даже очень полезно.

«Супер!» – скажете вы. – Но где же тут Стратегия?».

Отлично, значит, мы готовы продолжить путь.

«Стратегия без тактики — это самый медленный путь к победе. Тактика без стратегии — это просто суета перед поражением».

 Основой стратегии любой компании является целеполагание в долгосрочном периоде. Если детальнее погрузиться в верхнеуровневую структуру данного документа (а это всегда документ, к которому можно вернуться и еще раз свериться с курсом), то мы увидим, что в основном бизнес ставит проектные цели. Для справки, проект – это мероприятие, ограниченное во времени, предназначенное для создания уникальных продуктов, услуг и результатов. Существует и модель, которая описывает три важных составляющих проекта «проектный треугольник»: срок, бюджет и содержание. Они определяют качество и связаны между собой – если изменить одну «сторону», надо менять и другие.

Рассмотрим на примере функции безопасности, как стратегия изливается в тактику.

Процесс: Снабжение

Стратегия: Противодействие коррупции и мошенничеству в процессах Снабжения

Тактика: 

• Сформировать матрицу рисков и контролей бизнес-процесса Снабжение
• Актуализировать системы контролей по панели поставщиков
• Автоматизировать контроли в закупочных процедурах
• Снизить долю необоснованных закупок ТМЦ
• Развить контроль качества поставляемых ТМЦ

На основе разработанной тактики формируется перечень конкретных проектов по приоритетным направлениям деятельности, каждый из которых имеет цели, задачи, количественные и качественные эффекты, перечень необходимых ресурсов, срок и, довольно часто, но не всегда – бюджет.

Как к этому прийти? Скорее всего, сработает симптом чистого листа – даже имея инструкцию, наработки и идеи, будет сложно начать.

Инструментов для решения этой задачи множество. На деле же один из них превзошел ожидания – Матрица планирования Хосин Канри. Заполнение матрицы можно начинать с любой стороны в зависимости от осознания и готовности. Например, оценить запланированные мероприятия и идеи на предмет, как они агрегируются в единую цель. Или наоборот, какими мероприятиями вы можете достичь каскадированную или собственную цель, оценить достаточность (избыточность) запланированных мероприятий.

1. Определите свое видение (амбиции)
2. Определите долгосрочные прорывные цели на ближайшие 3-5 лет
3. Определите изменения, которые необходимо внедрить, их цели и ключевые результаты на год
4. Определите приоритеты улучшений, проекты и программы на год
5. Определите показатели эффективности программ и проектов на год
6. Определите людей, ответственных за реализацию и влияние

Формируем Стратегию функции в виде документа для заказчика и внутренних партнеров

Итак, на столе у нас лежит основа Стратегии развития в горизонте 2-3 лет в виде матрицы рисков, целей, а также портфеля проектных активностей и мероприятий. Для того чтобы документ получился монолитным, необходимо добавит в рецептуру некоторые другие компоненты. 

Здесь нам могут понадобиться:

• Структура и функциональное назначение подразделений корпоративной безопасности.
• Результаты деятельности за предыдущий отчетный период (операционная деятельность: кадровая безопасность, пропускной и внутриобъектовый режим, экономическая безопасность и расследования; проектная деятельность – инженерно-технические средства охраны, автоматизация контрольной среды бизнес-процессов).
• Модель обеспечения безопасности производственной площадки (наличие и актуальность документации; обеспеченность инструментами физической и технической безопасности; мероприятия по достижению герметичности периметра предприятия и критически-важных объектов).
• План коммуникаций функции (разработка страницы на корпоративном портале; рассылка стейхолдерам периодики с результатами деятельности; видео-ролики, бизнес-завтраки лидеров функции; блоги с результатами громких реализаций, внедрения продуктов, изменения регламентов).
• Модель управления проектами (консалтинг, привлечение корпоративного проектного офиса, развитие собственного центра компетенций).
• Модель развития компетенций сотрудников функции (внутренние и внешние обучения; участие в конференциях и выставках как в качестве слушателей, так и спикеров).
• План взаимодействия и синхронизации целей с контрольными функциями компании (внутренний аудит, управление рисками, комплаенс, юридическая служба) и Стратегиями бизнес-функций.

Коротко о главном

Кто формирует Стратегию?

Сама по себе задача довольно трудоемкая, можно назвать ее проектом со сроком реализации 2-3 месяца. 

Самый распространенный вариант – привлечь консультантов. Все начинается с разработки ТЗ, в котором по старинной русской традиции четко читается «дайте все, мы потом разберемся». В итоге к вам высаживают десант интервьюеров, которые под пытками у сотрудников получают необходимую информацию. Далее существующая реальность склеивается с лучшими российскими и мировыми практиками. В итоге вы получаете красивый документ стоимостью несколько миллионов рублей, а то и пары десятков, венцом которого является внедрение всеохватывающей автоматизированной антифрод системы. Которую коллеги готовы внедрить буквально за еще несколько десятков миллионов рублей, а то и за сотню. Энтузиазма от быстрой победы хватает обычно на пару месяцев, а потом этот документ служит шаблоном для презентаций.

Другой вариант – разработать Стратегию своими силами. А почему бы и нет? Если вы уже научились формировать матрицу рисков, ставить цели и декомпозировать их на проекты и мероприятия, половина дела уже сделана. 

В принципе оба варианта вполне реалистичны, но есть один нюанс – и в том, и в другом случае внутри функции должен быть лидер, который возьмется за этот проект и будет верить в достижение его целей, будет не «бороздить просторы Большого театра», а четко формулировать реальное положение дел, контролировать адекватность транслируемой информации в планах и хронологии развития.

Для кого актуальная Стратегия?

Не удивляйтесь, но ответом будет странная мысль – для всех. По данным Росстат в 2023 году количество действующих коммерческих организаций увеличилось до 2,61 млн. 

Наибольшая актуальность Стратегии, конечно же, для крупного бизнеса (по экспертным оценкам это от 1% до 2% от общего числа компаний, что ни много ни мало 25-50 тысяч предприятий – работы хватит всем), в связи с его масштабами, сложной структурой, неповоротливостью к изменениям и необходимостью иметь долгосрочные планы развития как ориентир на свет в конце тоннеля. В этой парадигме функция безопасности становится полноценным партнером, выходит из тени (конечно же оставляя за собой право на «секретные материалы» методов выявления рисков и угроз). Функция безопасности по сути – это сервис, который владелец бизнеса покупает. Почему бы не рассказать тому, кто платит по счету, за что конкретно. Для малого и среднего бизнеса тема также актуальна, но в разрезе масштаба документа и запроса владельца бизнеса на сервис. Представьте, что, используя даже только матрицу рисков и опционально остальные компоненты, вы приносите владельцу бизнеса четкий план действий на нескольких листах. Скорее всего концепцию «купят».

Чего стоит избегать?

• Не стоит обещать решения всех проблем «одним махом». Формирование системы внутреннего контроля и более того, автоматизация контрольной среды, о которой мечтают все, невозможна по мановению волшебной палочки. Такую концепцию с радостью купят, но при наступлении заветных сроков и отсутствии результата, море печали и разочарования затопит функцию.
• Нельзя забывать о необходимости ресурсной оценки вовлечения действующих сотрудников функции в масштабные задачи как формирования Стратегии, так и ее исполнения в рамках проектных и организационных активностей. Ведь прямые обязанности с них никто не снимает. Само по себе исполнение целей стратегии, может и должно быть использовано, в том числе как запрос на необходимый ресурс. Это может быть адекватное задачам расширение штата или формирование структуры по развитию функции (как вариант, собственный центр компетенций инструментов безопасности, проектный офис или даже просто лидер по развитию в аппарате директора по безопасности).
• Не пробуйте фантазировать, лучше честно и открыто заявить о действительном, пусть и невысоком, уровне зрелости функции, глубине проработки системных проблем, угроз бизнеса и инструментах контроля. Отправная точка и алгоритм приложения усилий сформируют принципы честности и открытости во взаимодействии с заказчиком.
• Не планируйте глобальных и финансово затратных проектов без детальной проработки. Сконцентрируйтесь на аналитике и проверке гипотез, тестировании ручных контролей на выявление риск-факторов. Так вы избежите необоснованных затрат, а в результате получите качественный и действительно необходимый контроль.
• Не внедряйте автоматизированные контроли на еще не завершенных проектах бизнеса, лучше вступите в рабочую группу проекта, в идеале на ранней стадии, для глубокого погружения в бизнес-процессы. Вполне вероятно, что благодаря вашей экспертизе, угрозы и риски будут закрыты и без надстройки в виде контролей безопасности. Ачивку за поимку злоумышленника не получите, но выступите партнером бизнесу, не натянете на себя лишние функции и сэкономите деньги. 

Смена парадигмы заманчива, но все трансформации происходят непросто, со значительными затратами времени и ресурсов. Есть три вещи, сделать которые необычайно трудно: сломать сталь, раскрошить алмаз и познать самого себя. Все написанное выше является практическим опытом и, если вам это отзывается, нужно просто перестать лежать в направлении цели, а сделать первый шаг. При формировании Стратегии ни один сотрудник службы безопасности и бизнеса не пострадал.

Автор: Никита Лисенков, Член ICSA, Руководитель направления по развитию Дирекции по безопасности ПАО НЛМК