Деловая безопасность
Безопасность есть первая жизненная необходимость любой системы. О том, какие правила нужно соблюдать при построении системы безопасности на предприятии, рассказывает независимый консультант Александр Митрофанов.
Лабиринт решений
Обеспечение безопасности коммерческих предприятий, как направление деятельности, появилось в конце 80-х годов, вместе с зарождением рынка. Вслед за первыми кооперативами возникли первые предприятия по обеспечению безопасности. Уже тогда сфера безопасности разделилась на два направления: крышевание и профессиональная безопасность. Экономическая суть у них разная. Главная задача «крыши» — бить по хвостам, возвращать деньги. С экономической точки зрения, крышевание неэффективно. Если что-то случилось, неизбежны разборки. И крайним в них, как правило, оказывается тот, чью безопасность обеспечивают, так как «крыши» умеют в нужный момент договариваться между собой. Второе направление — это профессиональные службы или предприятия безопасности. Их цель — создание эффективной системы безопасности на собственных коммерческих предприятиях или на предприятиях клиентов, то есть профилактика — уменьшение вероятности нежелательных событий или полного краха организации с помощью ряда защитных мероприятий, которые требуют разумных затрат.
В последние годы наблюдается смена видения роли и сущности систем безопасности. Обеспечение безопасности становится составной частью general risk management, или общей системы управления рисками. Это достаточно новое направление для СНГ, хотя на Западе такие системы уже давно существуют. Таким образом, сегодня сотрудник безопасности — это все чаще не человек с ружьем, а управленец, аналитик, менеджер.
Выжить, существовать, развиваться
Любая система вне зависимости от того, государство это, компания или человек, стремится выжить, существовать и развиваться. Без обеспечения безопасности как процесса это невозможно. Таким образом, безопасность есть первая жизненная потребность любой системы и основная ее жизненная ценность. Безопасность компании на рынке — продукт специфического внутреннего производства «индустрии безопасности». Он производится компанией, ею же потребляется и участвует в производстве прибыли.
Объектом защиты корпоративной системы безопасности являются ресурсы в самом широком смысле: информация, интеллектуальная собственность, активы, имущество, клиенты, персонал, технологии и так далее. Сама система управления компанией также является определенным ресурсом и требует защиты. Управление должно быть построено так, чтобы система безопасности не замыкалась в отдельной структуре. Обеспечение безопасности — это забота не только службы безопасности, но и всего менеджмента компании. Система должна охватывать всех сотрудников, начиная с президента и заканчивая техническим персоналом. Локализация управления безопасностью в одном департаменте может быть эффективна только в том случае, если бизнес устоялся и ничего не меняется. Когда же рынок динамично развивается, нужна гибкая система. Управление безопасностью — это развивающийся процесс.
Человеческий фактор
Одна из аксиом безопасности гласит: безопасность — это проблема людей. Отсюда вывод: источником угроз являются люди. Система безопасности строится людьми и управляет людьми. Требования безопасности должны настолько войти в кровь и плоть сотрудников, чтобы они следовали им, не задумываясь. Такой подход может уберечь от серьезных проблем. Приведу один пример. Однажды в крупную инвестиционную компанию пришел клиент и предложил на основании доверенности заманчивую сделку по продаже 20% акций одного очень крупного предприятия. В этой компании действовали правила и процедуры, которые обязан был выполнять практически каждый сотрудник. Операционистка начала работать с клиентом по отработанной схеме. В частности, в процедуру были заложены определенные вопросы, которые должны быть заданы, и слова, которые в обязательном порядке должны быть сказаны клиенту с точки зрения законодательства. Девушка четко выполняла эту процедуру. В любой компании существуют признаки нормального клиента. Определенные вопросы вызывают определенную реакцию. Девушка заметила, что некоторые из реакций посетителя были не совсем адекватны. Они не совпадали со среднестатистическим поведением клиента.
Согласно правилам, действовавшим в этой компании, в подобных ситуациях операционистка должна была поставить в известность вышестоящего менеджера и службу безопасности. Последняя сразу же подключилась к работе с клиентом и стала заниматься изучением предъявленных им документов. В документах были обнаружены признаки подделки. В частности, нотариус, который заверил доверенность, не существовал в природе. Согласно процедуре, в таких случаях служба безопасности тут же связывается с правоохранительными органами. Сотрудники УБОП подъехали в офис компании еще до того, как закончилась работа с клиентом. Однако они не стали его брать на месте. Этому человеку был выдан договор, согласно которому он мог «провести перерегистрацию акций» и получить за них наличные деньги в кассе компании. На следующий день рядом с офисом была арестована вооруженная преступная группа, которая, ничего не подозревая, «пришла за миллионами». Преступники не учли, что человек, который реально владеет акциями, определенным образом реагирует и ведет себя. А главное, они не учли существования профессиональной системы управления безопасностью в компании и того, что правила безопасности были включены в стандартные процедуры для каждого сотрудника.
Строим систему
Практической схемы построения универсальной системы безопасности не существует. Каждая система безопасности — это уникальный продукт. Ее нужно строить, исходя из сущностных связей и бизнес-процессов предприятия. Торговое предприятие и финансовая компания очень отличаются друг от друга. Тем не менее существует общий алгоритм локализации угроз, который применим для любой системы:
1. Идентификация источников угроз (рисков).
2. Оценка степени серьезности угрозы (уровень ресурсов источника угрозы и его цели — возможного ущерба ресурсам предприятия).
3. Выделение групп источников угроз по целям, ресурсам, интересам.
4. Оптимальное выделение ресурсов, выбор и применение оптимального алгоритма локализации угроз (построение системы защиты) с учетом выделенного на это бюджета.
На одном из семинаров по безопасности был задан следующий вопрос: «С чего вы начнете построение системы безопасности на своем предприятии?» Весьма интересен был ответ молодого руководителя службы безопасности одного из крупных заводов. Он сказал, что его главный приоритет — защита компьютерной информации. Проверка поставщиков, дилеров, персонала, охрана складов, пресечение выноса готового продукта для него оказались второстепенными задачами, так как реализация связанных с этими источниками риска угроз не привела бы к серьезным убыткам или краху бизнеса. Однако все управление заводом, включая непосредственное управление производственным процессом, было построено на основе единой компьютерной системы. Проникновение в нее компьютерного вируса или несанкционированный доступ постороннего мог ее разрушить, и тогда все производство остановилось бы. Компания была бы близка к краху. Таким образом, этот профессионал точно идентифицировал риски и разложил их по степени важности. Идентификация, ранжирование, выбор самого серьезного риска, а затем оптимизация рисков и регулирование их — таковы основы грамотного риск-менеджмента в области безопасности.
Азбука безопасности
При построении системы безопасности также важно учитывать несколько моментов.
1. Существуют три понятия: безопасность, скорость и дешевизна. Строя систему, вы можете выбрать только два из них. Система может быть безопасной и быстрой, но при этом она окажется очень дорогой. Она может быть безопасной и дешевой, но она будет страшно медленной. Она может быть дешевой и быстрой, но небезопасной. Выбор оптимальной комбинации — прерогатива лиц, принимающих решения. Обнулить риски невозможно. Нулевой риск бывает только у того, кто ничего не делает. Однако в силах эффективной службы безопасности сделать этот риск оптимальным.
2. В управлении безопасностью как отраслью производства действуют все экономические законы и понятия, например эффективность, хотя рассчитать ее несколько сложнее, чем обычную эффективность, так как здесь эффектом является не прибыль, а экономия.
3. Безопасность и сложность — явления обратно пропорциональные. Чем сложнее процесс, тем больше проблем с безопасностью, тем менее он надежен. Чем сложнее вопросы, тем более дорогостоящая система требуется. Если сравнить коммерческую палатку и крупный завод, то для обеспечения безопасности первой достаточно просто договориться с милицией, обслуживающей район. Что же касается завода, для обеспечения его безопасности могут потребоваться сложные математические разработки и самые современные технологические системы.
4. Безопасность подчиняется правилу бритвы Синдера. При отсутствии прочих факторов всегда используйте вариант с наибольшей безопасностью. Это верно при принятии любых решений в бизнесе.
5. Безопасность — инвестиция, а не расход. Она стоит дорого, и это оправданно, но это совсем не значит, что в нее можно вкладывать бесконечно. Наступает определенный момент, когда дальнейшее увеличение затрат практически не повышает уровень безопасности. Правильно определить этот момент — значит, работать экономически эффективно.
6. Любая система безопасности тормозит развитие системы в целом. Единственный выход — следовать за изменениями. Меняться вслед за бизнесом. Прогнозировать неведомое. Наиболее эффективно управление безопасностью там, где оно непосредственно включено в бизнес-процессы. Например, в корпорациях, где реализуются крупные проекты, в каждый из них включается менеджер безопасности, который отслеживает риски по своему направлению и принимает решения, как избежать угроз, не снижая эффективности и скорости работы.
С пониманием дела ...
Пожалуй, главная сложность, с которой сопряжена деятельность службы безопасности, заключается в человеческой психологии. Счастье — это когда тебя понимают. Эффективная работа современной службы безопасности невозможна без понимания и доверия на всех уровнях управления компанией.
Отечественный рынок достаточно молод. Ресурсов мало, субъектов много. Постоянно идет конкурентная борьба за эти ресурсы и преимущества на рынке. Работы у профессионалов безопасности хватает. Информация и анализ сегодня решают все. Службам безопасности и появляющимся уже кое-где службам деловой разведки в инвестиционном и финансовом бизнесе, в крупных корпорациях приходится проверять практически всех своих контрагентов и клиентов, изучать конкурентов, анализировать потоки информации, заниматься моделированием и прогнозом ситуаций. Это дает возможность избежать как финансовых, так и, самое главное, имиджевых потерь.
Источник:
17.08.2011