Журнал "Директор по безопасности" Март 2021 | Page 12

ПАНКРАТЬЕВ Вячеслав Вячеславович – полковник юстиции в запасе , заведующий кафедрой безопасности в Университете государственного и муниципального управления , эксперт в области корпоративной безопасности и управлению рисками , с 1997 года преподаватель – консультант , автор и ведущий обучающих программ ( MBA , Executive MBA , открытые семинары , корпоративные мероприятия , индивидуальные консультации ) по проблемам защиты бизнеса более чем в десяти учебных заведениях России . Автор книг и методических пособий по безопасности предпринимательской деятельности . Независимый консультант в области корпоративной безопасности . Разработчик методик аудита безопасности предприятия и создания КСБ – корпоративных стандартов безопасности . Личный сайт www . vvpankrat . ru

ЕСТЬ РЕШЕНИЕ

Десять первых шагов на должности

Директора по безопасности

Часть 1 .

ПАНКРАТЬЕВ Вячеслав Вячеславович – полковник юстиции в запасе , заведующий кафедрой безопасности в Университете государственного и муниципального управления , эксперт в области корпоративной безопасности и управлению рисками , с 1997 года преподаватель – консультант , автор и ведущий обучающих программ ( MBA , Executive MBA , открытые семинары , корпоративные мероприятия , индивидуальные консультации ) по проблемам защиты бизнеса более чем в десяти учебных заведениях России . Автор книг и методических пособий по безопасности предпринимательской деятельности . Независимый консультант в области корпоративной безопасности . Разработчик методик аудита безопасности предприятия и создания КСБ – корпоративных стандартов безопасности . Личный сайт www . vvpankrat . ru

Данная статья о том , что в первую очередь нужно делать лицу , назначенному на должность , предполагающую обеспечение безопасности предприятия , например , на должность Директора по безопасности . Часто она называется – заместитель директора по безопасности и режиму . Иногда иначе . Изложенные в статье идеи выражают исключительно субъективное мнение автора , обучающего и консультирующего по вопросам корпоративной безопасности уже почти двадцать пять лет . Я попытался сформулировать десять первых шагов на этой должности , которые на практике могут растянуться на много дней и даже недель в зависимости от опыта и компетенции безопасника и от готовности руководства предприятия принять безопасность как должное . Как одну из бизнес-функций . Статья ориентирована в первую очередь на коммерческие организации ( предприятия ) и не затрагивает вопросы безопасности в органах государственного управления .

ШАГ 1 . Выяснить , зачем бизнесу нужна безопасность . Определить объекты безопасности . Оценить бизнес-функцию безопасности

В чем сложность работы безопасника ? В первую очередь в том , что такой профессии юридически не существует . Нет универсальных должностных инструкций , нет профессиональных стандартов и даже нет учебных заведений , готовящих специалистов по корпоративной безопасности . Нет ни бакалаврских , ни магистерских программ , по окончании которых слушатель получит диплом , где написано , что он является специалистом в области корпоративной безопасности . Есть только программы подготовки по отдельным направлениям , например по информационной безопасности , по экономической безопасности , по промышленной безопасности и т . д . И поэтому , чем должен заниматься директор по безопасности , никто точно не знает . Вернее , он занимается тем , что может предложить полезного для предприятия или тем , чем его нагрузит руководство предприятия .

По моему мнению сейчас в России сложилось три типа коммерческих организаций , в которых безопасники выполняют совершенно разные задачи . И от того , к какому типу относится организация , в которой вы стали работать , зависит специфика первого шага .

Первый тип – организации с государственным участием . Это коммерческие структуры , в которых есть интересы государства . Например : акции принадлежат государству , предприятие участвует в государственных проектах , национальных планах , выполняет государственный оборонный заказ , входит в государственную корпорацию и т . д . Таких предприятий становится все больше и больше . Основная задача безопасности в них – это контроль за расходованием бюджетных денег , защита государственной и коммерческой тайны , контроль за выполнением поручений вышестоящих органов и должностных лиц , за выполнением социальных функций , взаимоотношение с государственными правоохранительными , контрольными и надзорными органами и т . д . В эти организации безопасники , как правило , приходят из государственных органов , в первую очередь из силовых структур . Работа для них понятна и связана примерно с тем , что они раньше делали на службе , только уже без погон и в коммерческой структуре . Как правило их работа жестко определена должностными инструкциями и регламентами , несоблюдение которых строго карается . Выстраивается жесткая вертикаль управленческой власти по линии безопасности .

Второй тип – это обычные коммерческие структуры без интересов государства . Это ритейл , многочисленные предприятия среднего и малого бизнеса , стартапы и т . д . Крупный бизнес уже в той или иной степени аффилирован с государством и попадает в первый тип . В организациях второго типа приходится определять безопасность уже как бизнес-функцию и доказывать свою полезность предприятию . Распространенная ошибка начинающего безопасника – рассказывать лицу , принимающему решения свои личные качества и возможности , козырять званиями , связями и безупречной многолетней службой на государство . Бизнесу это не нужно . Вопрос стоит так : что полезного ты , как безопасник , сможешь сделать для увеличения прибыли или стоимости предприятия . И здесь нужно выстроить безопасность как бизнес-функцию . И отчитываться не выполнением регламентов , а цифрами , связанными , например , с предотвращенным ущербом или с увеличением капитализации предприятия за счет безопасности . В этих предприятиях безопасность работает в основном по предотвращению или расследованию инцидентов , защите активов , входит в систему управления рисками , проводит мероприятия по увеличению конкурентного преимущества товаров и услуг компании и т . д . На этих позициях бывшие работники правоохранительных органов не очень эффективны . Сейчас эти должности в этих компаниях занимают лица , хорошо знающие экономику , финансы , бизнес-процессы . Умеющие говорить с бизнесом на одном языке цифр и коммерческого сленга .

Третий тип – это предприятия , работающие либо в специфическом сегменте рынка , либо являющиеся иностранными компаниями , работающими на территории России . Под первую категорию подходят , например , банки и организации , контролирующиеся Центральным банком России ( страховые , микрофинансовые и т . д .). Безопасность в них строится по требованиям , изложенным регуляторами . Невыполнение этих требований грозит штрафными санкциями вплоть до отзыва лицензий . Надо отдать должное – ЦБ РФ все основные требования по безопасности жестко регламентировал ( управление рисками , ПОД / ТФ , защита персональных данных и т . д .). Безопаснику остается только их выполнять или контролировать . В иностранных компаниях все несколько сложнее . В других странах нет понятия безопасник . Есть понятие риск-менеджер и комплаенс-менеджер . И отдельные должности по узким задачам , например аудитор , ИТ-безопасник , внутренний контролер . Поэтому здесь безопаснику приходится либо выполнять вышеперечисленные задачи , либо долго объяснять иностранному руководству кто он такой и почему на его содержание нужно тратить деньги . Кроме того , в иностранных компаниях безопасность смещена в направления , которые в российских компаниях только начинают развиваться . Например , экологическая безопасность или техногенная безопасность .

Должен заметить , что сейчас появляется четвертая группа . Это экосистемы . Про них сейчас рассуждать сложно в связи с тем , что данный термин хоть и стал часто применяться на практике , но юридически не определен .

ШАГ 2 . Изучить законодательство в части деятельности предприятия , применительно к задачам корпоративной безопасности

Единого законодательства в области корпоративной безопасности нет , поэтому придется изучать требования законов и иных нормативных актов применительно к специфике бизнеса . Конечно , есть нормы российских кодексов ( уголовный , административный , трудовой , налоговый и т . д .), которые безопасник должен знать хотя бы на уровне понимания и возможности применения . Если предприятие работает на международном рынке , то неплохо бы знать международное законодательство и международные конвенции . А также международные стандарты в области безопасности . В первую очередь это стандарты ISO , которых в части безопасности и управлению рисками довольно много .

Что еще должен знать безопасник , так это требования российского законодательства по отдельным вопросам безопасности , например , законодательство о частной детективной и охранной деятельности , о коммерческой тайне , о персональных данных , об информации , информатизации и защите информации , о государственной тайне , о безопасности объектов топливно-энергетического комплекса , о транспортной безопасности , о промышленной безопасности , о противодействию терроризму , о противодействию коррупции , о критической информационной инфраструктуре , о пожарной безопасности и т . д . Подобных законов , где встречается слово « безопасность » много . Это не значит , что выполнение всех этих законов ляжет на широкие плечи безопасника , но нужно как минимум быть к этому готовым . Естественно , изучать законодательство надо применимо к специфике деятельнwости предприятия и не перегружать свою голову лишними знаниями .

Работая в третьем типе предприятий очень важно изучить требования регуляторов , а также профильных министерств и ведомств . Это могут быть приказы Минфина РФ , ФНС РФ , МВД РФ , ЦБ РФ и иных органов . Если ваше предприятие попадает в первый тип или входит в какой-нибудь холдинг или корпорацию , то придется еще изучать и акты вышестоящей организации , а также многочисленные типовые положения в части безопасности , которыми изобилует первая группа .

На что обращу внимание . Безопасники в компании не имеют особого статуса и поэтому попадают под то же трудовое законодательство , что и остальные работники . То есть те , кто « смотрит » за работниками , и сами работники живут по одному и тому же трудовому законодательству . Ни у кого никаких привилегий и преференций . Поэтому безопаснику надо хорошо разбираться в трудовом праве и понимать , что он не наделен никакими правами , выходящими за пределы трудового кодекса . Он не может заниматься охранной деятельностью , детективной деятельностью , адвокатской деятельностью , проводить мероприятия , которые попадают под понятие оперативно-розыскные . А так иногда хочется . Просто руки чешутся .

Также желательно понимать , что работники тоже не имеют особого « круглосуточного » статуса , каковым обладают , например , адвокаты , судьи , депутаты и иные лица . Суть трудовых отношений – это выполнение трудовых функций в рабочее время . Все . Поэтому все попытки регламентировать действия работника по линии безопасности во внерабочее время или вне трудовой функции вызывают обоснованные вопросы у юристов . В критических случаях – у адвокатов . Исключение составляют , наверное , только нормы кодексов этики , которые , с моей точки зрения , могут быть круглосуточные и в некоторых случаях определять поведение работника даже после увольнения . Но за нарушение этики не предполагается юридическая ответственность . Как правило , только общественное порицание .

ШАГ 3 . Понять бизнес-процессы и специфику предприятия

Это важно . Обеспечение безопасности бизнес-процессов является одной из главных задач корпоративной безопасности . Как правило , на предприятии эти процессы уже отлажены и безопаснику главное их не сломать . « Понять и простить ». То есть при налаженности процессов подстроиться под них . И не быть « слоном в посудной лавке ». И не мешать бизнесу зарабатывать деньги своей некомпетентностью . Я сейчас говорю об уже функционирующем предприятии . На начальной стадии развития компании бизнес-процессы должны создаваться уже с учетом требований по их защите . Так сказать , в защищенном варианте .

Должен заметить тенденцию последнего времени . Если раньше безопасность рассматривала бизнес-процессы только с точки зрения их защиты , то в последнее время безопасность смотрит на процессы еще и с точки зрения их эффективности . То есть анализирует цифровые параметры и инциденты , которые могут свидетельствовать о необходимости перестройки и повышения эффективности самих бизнес-процессов . Раньше оценкой эффективности занимался внутренний аудит . Теперь эти задачи часто стали брать на себя еще и безопасники . И действительно , причиной ущерба или упущенной выгоды для предприятия могут являться не кражи , растраты или мошенничество , то есть умышленные действия персонала , а неэффективность процессов и связанные с ней технические ошибки .

Еще желательно научиться разбираться в продукции , выпускаемой предприятием или спецификой предоставляемых услуг . Вспоминаю слова одного участника моего семинара , который уволился из органов и пришел работать безопасником в один научно-исследовательский институт . В его задачи входило визирование договоров в закупочной деятельности . Он не только не мог их проверять с позиции цены и целесообразности , он даже не понимал , о чем идет речь в закупаемых товарах , так как термины были научные и для простого безопасника малопонятные . Как говорится , учите матчасть .

Если раньше безопасность рассматривала бизнеспроцессы только с точки зрения их защиты , то в последнее время безопасность смотрит на процессы еще и с точки зрения их эффективности . То есть анализирует цифровые параметры и инциденты , свидетельствующие о необходимости повышения эффективности