От автора
Я не вполне обычный "безопасник". В промежутке между работой в государственной и коммерческой службах безопасности, мне довелось в течение почти пяти лет заниматься закупочной деятельностью, складской и транспортной логистикой (в том числе международной).
Проведение тендеров, взаимодействие (не всегда бесконфликтное) с контрагентами подарили уникальный опыт, а главное, совершенно иной взгляд и понимание безопасности, не с позиции уголовного кодекса, а с точки зрения влияния на бизнес и его результаты.
С тех пор рассматриваю безопасность, как бизнес-функцию, основная задача которой заключается в позитивном влиянии EBITDA (в ее расходной части), посредством сокращения потерь от фрода и неэффективности. И, конечно, сама служба безопасности (СБ) должна иметь положительный P&L! При этом, организация работы по технологическому принципу, когда роли распределены, процессы регламентированы, а результаты оцифрованы, делает СБ саморегулируемой и самомотивируемой структурой.
Такой подход в корне меняет формат взаимодействия с коммерсантами внутри компании, которое трансформируется от надзорно-конфликтного к конструктивно-партнерскому (от угроз уголовного преследования к оценке и митигации рисков), а также формирует понимание бизнес-заказчиком содержания, результатов и ценности работы СБ.
В настоящем издании я попытался описать и структурировать свой опыт обеспечения безопасности и, полагаю, что материал может быть полезен как лидерам бизнеса для понимания зачем им СБ, так и действующим руководителям профильных подразделений, как настольное пособие и руководство к действию.
С уважением и пожеланиями успеха,
Алексей Игоревич Швецкий
Безопасность – состояние или ощущение
Wikipedia определяет «безопасность», как состояние защищенности…от угроз.
Представьте… Вы в своем московском офисе, через панорамное окно наблюдаете за потоком машин, спешащих по Садовому кольцу, чуть слышно шуршит кондиционер… В безопасности ли Вы?
Скорее всего, да. Но на чем она основана? Отсутствие угроз, как результат эффективной работы службы безопасности или следствие временного отсутствия интереса к Вашей персоне/Вашему бизнесу со стороны криминальных структур или агрессивных конкурентов?
То есть, Ваша текущая сиюминутная безопасность – это состояние или ощущение? Как провести границу между ними?
При всей кажущейся простоте, ответ на этот вопрос совсем не очевиден. Причем, как для капитанов бизнеса, так и для лидеров подразделений безопасности.
Однажды, выступая на внешней конференции по вопросам предотвращения корпоративного мошенничества, я высказал мнение, что обеспечение безопасности, это процесс соревновательный и бесконечный, где на каждый новый контроль СБ, фродстеры изобретают новые оригинальные способы незаконного обогащения и чем эффективней инструменты выявления нарушений, тем изощрённой схемы их преодоления.
В перерыве ко мне подошел один из участников мероприятия, которым, по стечению обстоятельств, оказался бывший начальник управления ФСБ, в котором я когда-то служил и безапелляционно заявил, что соревновательность между СБ и криминалом свидетельствует о низкой квалификации сотрудников, обеспечивающих безопасность. На своем нынешнем месте работы, он выстроил эффективную систему мер, исключающую возможность не только неправомерных, но даже просто нежелательных действий.
Мое предположение, что уважаемый генерал качественно и эффективно охраняет «дыру в заборе», которую уже давно никто не использует, так как появились другие, он категорически отверг.
Как это обычно и бывает, нас рассудило время. В банке, безопасность которого обеспечивал мой бывший начальник, вскоре выявили многомиллиардную недостачу, топ-менеджмент поменяли (часть посадили), кредитная организация подверглась санации и перешла под контроль государства.
Таким образом, в некоторых случаях, за состояние защищенности, принимается ее ощущение.
Зачастую руководители предприятий, являясь бизнес-заказчиками, слабо понимают, чем занимается служба безопасности.
Как-то, отвечая на мой вопрос о задачах, коммерческий директор макрорегиона крупной федеральной компании ответил: «Сделай так, чтобы не воровали…», на замечание, что это невозможно, добавил: «Тогда, пусть воруют меньше».
Меньше – это сколько? Меньше, чем вчера? А насколько? Если на 10%, то это нормально или еще не совсем ?..
Порой, из тщеславия бизнесмены приглашают возглавить безопасность ушедшего на пенсию генерала или большого начальника из МВД, ФСБ, либо других подобных организаций. Как правило ценность таких кадров, заключается (и ограничивается) их административным ресурсом, а подчиненный аппарат создается, чтобы руководителю было кем управлять.
Соответственно, в таких случаях от СБ не требуют каких-либо конкретных действий или системной работы. Руководитель подразделения безопасности периодически докладывает Главе компании о своих успехах и выявленных рисках.
Как правило, такие встречи не имеют четкой повестки, а результаты работы СБ критериев успешности.
В отличие от ощущения, состояние защищенности материально, его можно создать, а результаты измерить.
Вероятно, самым правильным будет начать с целеполагания для службы безопасности, на основе целей бизнеса, ради процветания которого она создана.
Одним из важнейших показателей экономической эффективности предприятия является EBITDA.1 Чем он выше, тем лучше. Значит, задача всех структурных подразделений компании, включая СБ, этому способствовать.
Ближе всего к такому видению приблизились сетевые ритейлеры, которые используют коэффициент потерь по отношению к выручке или обороту торговой точки. Критерий хорош простотой расчета, но не отражает степень участия и роль СБ в сокращении/недопущении убытков.
В общем случае, служба безопасности может оказывать влияние на EBITDA, сокращая ее затратную часть, путем возмещения ущерба, предотвращения потерь, а также неэффективных расходов.
Последнее, особенно важно. Большинство «безопасников», по привычке продолжают мыслить и классифицировать происшествия по статьям уголовного кодекса: «Кража», «Присвоение и растрата», «Коммерческий подкуп» и т.д.
Однако, если отталкиваться не от УК РФ, а от факта наступления потерь, оказывается, что из поля зрения СБ выпадают до 80%, заслуживающих внимания историй (в рознице меньше, до 60%). Случается, что все участники процесса добросовестно выполнили свои обязанности, а убыток возник. Причем, умысла на нанесение вреда предприятию ни у кого из них не было. При детальном изучении оказалось, что какая-то операция не была выполнена, так как отсутствовало лицо, которому она была бы поручена (отсутствие регламентации), либо риск потерь в этой точке процесса не рассматривался (несовершенство бизнес-процесса).
При расследовании инцидентов, вопрос «кто виноват?» тоже вторичен. Гораздо важнее понять, может ли подобное повториться в другом месте, в другое время и с другим составом участников? Какие контроли не сработали? Какие изменения необходимо внедрить, чтобы исключить рецидив.
То есть функция безопасности последовательно мигрирует от квазиоперативно-розыскной деятельности к управлению рисками безопасности.
При таком подходе, результат работы СБ и его влияние на бизнес-результаты может быть измерен в экономических показателях и только в этом случае можно считать, что безопасность обеспечивает состояние защищенности предприятия.
Резюмируя вышеизложенное: Если подчиненное или вверенное Вам подразделение безопасности не может описать итоги своей работы в величинах, имеющих реальное значение для бизнес-результатов предприятия, Ваша безопасность, лишь ощущение!
Безопасность, как технология
Современный мир технологичен и технологии непрерывно развиваются.
Давным-давно, если человек нуждался в каком-нибудь изделии или инструменте, то делал их самостоятельно – кустарно. Позднее, появились специалисты, профессионально изготавливающие такие вещи – ремесленники. Для увеличения производительности, кто-то додумался разделить процесс производства на несколько более простых операций и поручить их выполнение нескольким работникам – возникла технология. В дальнейшем к этому добавилась механизация и автоматизация.
Аналогично развивалась и торговля: от простого товарообмена, к продаже излишков урожая и далее, вплоть до современных логистических компаний и торговых сетей.
Технологии привлечения покупателей и стимулирования спроса вообще вышли за рамки товарно-денежных отношений, так как в их основе лежит психология и эмоциональное манипулирование.
Одной из немногих сфер нашей жизнедеятельности, которую почти не затронул технический процесс, остается безопасность.
100 000 лет назад вход в пещеру охранял первобытный человек, вооруженный дубиной… Сегодня их потомки (с тем же выражением лиц) заняты тем же в офисных и торговых центрах.
Дух ремесла сохранился и на линии обеспечения экономической безопасности. Некоторые контроли удалось автоматизировать, но в целом, работа по-прежнему осуществляется «по месту» и управляется вручную. Оценка эффективности дается на основе личного, часто субъективного, мнения руководителя. Результаты работы в большой степени зависят от личных и деловых качеств сотрудника и его профессионализма. Зачастую с уходом грамотного «безопасника», процесс замедляется или останавливается вовсе.
Для многих современных управленцев словосочетание «корпоративная безопасность» пахнет нафталином, ассоциируется с ничем не обоснованными запретами и ограничениями, неудобными процедурами.
В этих условиях многие работодатели не видят ценности в подразделениях безопасности, выделяя больше внимания и ресурсов внутреннему аудиту, юристам, аналитикам по управлению рисками.
Пора эволюционировать! Современный мир технологичен и процесс обеспечения безопасности также должен превратиться в технологию, когда все действия разбиты на операции, которые в свою очередь выстроены в последовательность и взаимоувязаны. Где алгоритм принятия стандартных решений определен, неизменен и не зависит от исполнителей, а механизм работы с исключениями выработан. Где результат работы СБ измеряем и влияет на успех всей организации.
В настоящей главе рассматривается только технологический аспект обеспечения безопасности, а более детально с терминами, определениями и метриками мы познакомимся в следующих публикациях.
Итак, цель любой коммерческой структуры – извлечение прибыли. Основной показатель эффективности компании – EBITDA. Роль безопасности – сокращение ее расходной части, путем уменьшения потерь от противоправных действий и неэффективности.
Поэтому, гоните своих «безопасников» прочь, если они не смогут объяснить:
– Какова их роль в успехе бизнеса предприятия?
– Как измерить результат их работы?
– Как их работа влияет на EBITDA?
Для тех, что останутся, применяем Теорию решения изобретательских задач (ТРИЗ)2.
По мнению автора метода, вначале необходимо вообразить идеальный результат, а затем постараться устранить препятствия, мешающие его достижению.
Wikipedia поясняет, что всё должно остаться так, как было, но либо должно исчезнуть вредное, ненужное качество, либо появиться новое, полезное качество. Основная идея в том, чтобы избегать существенных (и дорогих) изменений и рассматривать в первую очередь простейшие решения.
Включив креатив на полную мощность, формулируем задачу:
Как обеспечить экономическую
безопасность,
если Вам лень ею заниматься?
… или, в контексте Теории – моделируем условия, которые приведут к желаемому результату без управленческого влияния на процесс (либо при минимальном участии руководителя).
Определяемся с терминами и инструментами
– классифицируем виды ущерба (выявленный, предотвращенный, возмещенный);
– устанавливаем порядок расчета размера убытков и требования к документам, подтверждающим суммы и роль подразделения безопасности в сохранении активов;
– вводим ключевой показатель эффективности СБ (возмещение + предотвращение).
Формулируем задачи СБ
– выявление ущерба в результате противоправной деятельности или неэффективности;
– возмещение уже нанесенного ущерба;
– предотвращение возможных потерь и убытков.
Устанавливаем правила
– стандартизируем и унифицируем контрольные процедуры;
– назначаем контрольное значение ключевого показателя эффективности;
– увязываем систему мотивации с результатами работы.
Формируем конкурентную среду
– регулярно предъявляем сотрудникам СБ их текущее ранжирование;
– сравниваем показатели подразделений и работников год к году;
– сравниваем подразделения и сотрудников между собой;
– стимулируем лидеров, помогаем аутсайдерам.
Подводим итоги
В результате получаем объективную и понятную систему оценки каждого сотрудника, каждого подразделения. Регулярная обратная связь с отражением позиции в ранжировании, стимулирует работников к активным действиям (соревновательный азарт) и позволяет своевременно выявить отстающих, принять к ним корректирующие меры.
В случае организационно-штатных изменений, оптимизации или сокращения численности персонала, потенциальные участники таких мероприятий уже собраны внизу списка. Почему покидают компанию именно они не вызывает вопросов ни у будущих бывших коллег, ни у остающихся в строю.
Подразделение безопасности становится саморегулирующейся структурой, его руководителю уже нет необходимости непосредственно контролировать рабочий процесс, включая соблюдение подчиненными распорядка дня.
Поскольку правила игры (порядок расчета и подтверждения размера выявленного, возмещённого и предотвращенного убытков) определены и согласованы с бизнес-заказчиком, достоверность отчетности СБ не вызывает вопросов и сомнений.
Сравнивая затраты на безопасность с отдачей СБ (по ключевому показателю), можно оценить их эффективность и целесообразность. Одновременно, это позволяет руководителю подразделения безопасности выходить с инициативами по введению дополнительных ставок, увеличению фонда оплаты труда или премированию отдельных сотрудников.
Измерения и оценка эффективности работы службы безопасности
Служба безопасности – это не вещь в себе, а один из инструментов, используемых бизнесом для достижения своих целей. Поэтому, результаты СБ интересны бизнес-заказчику лишь в той степени, в которой они влияют на выполнение его собственных KPI, как правило, имеющих денежное выражение.
Исходя из этого понимания, необходимо организовывать работу, формировать и представлять ее итоги.
Стандартизация и унификация
Компании холдингового типа в процессе своего развития, поглощают и интегрируют с свою структуру другие предприятия, зачастую сохраняя или незначительно изменяя их внутреннюю иерархию.
В результате появляются несколько локальных служб безопасности, каждая из которых по-своему строит работу, представляет и предоставляет ее результаты. В таких условиях затруднительно оценить эффективность их деятельности или сравнить между собой.
Наиболее правильным путем представляется стандартизация и унификация работы всех структурных подразделений, для чего разрабатывается единые (на всю группу компаний) локальные нормативные документы, например, такие как:
Политика обеспечения безопасности (можно общую, можно раздробить на: экономической, физической, информационной).
Процедура проведения корпоративных расследований (основания для инициации, содержание, результаты, права и обязанности участников).
Регламент расчета и классификации убытков для целей корпоративных расследований (совместно с финансистами для обеспечения корректности и достоверности отчетов).
Определяется основной формат активности – корпоративное расследование, а также требования к нему.
Создается База данных корпоративных расследований (БДКР), куда заносятся все проводимые и завершенные расследования, а также сведения, необходимые для контроля и анализа (период проведения, кто проводил, кто фигурант, где произошло, выводы и рекомендации, реализация корректирующих мер).
Устанавливается требование о занесении в БДКР всей первичной информации, не зависимо от источника ее получения и достоверности, а также результатов проверки. То есть внедряются элементы инцидент-менеджмента.
Деятельность подразделений, занимающихся обеспечением физической охраны и информационной безопасности так же приводится к единым нормативным и организационным требованиям.
В чем измерять?
Служба безопасности – сервисная функция, т.е. вспомогательная, помогающая бизнесу… Казалось бы, если коммерсанты довольны, значит, все хорошо. И руководители подразделений безопасности частенько в качестве подтверждения собственной эффективности предъявляют положительную обратную связь от местных бизнес-лидеров, но последние порой просто не могут ни сформулировать задачи для функции безопасности, ни объективно оценить итоги их работы.
Более того, на практике, самые лучшие отзывы получают «безопасники», подменяющие собой коммерсантов на отдельных проблемных участках («решалы»), но при этом, глубоко и искренне не понимающие содержание бизнес-процессов и потому, не препятствующие неправомерному обогащению недобросовестных сотрудников и контрагентов.
Тем не менее, служба безопасности может и должна оказывать влияние на EBITDA, сокращая ее затратную часть, путем возмещения ущерба, предотвращения потерь, а также неэффективных расходов.
Поскольку EBITDA измеряется в деньгах, именно в них мы будем определять цели СБ и измерять эффективность ее работы.
Куда целиться?
Обычная, принятая в большинстве компаний классификация, предусматривает три вида убытков: выявленный, возмещенный и предотвращенный.
Исходя из нее, верхнеуровневые цели СБ можно сформулировать, как:
– Выявление ущерба, нанесенного в результате противоправной деятельности, неэффективности или уязвимости бизнес-процессов;
– Возмещение уже нанесенного ущерба;
– Предотвращение возможных потерь (включая упущенную выгоду и сохранение выручки).
С учетом специфики и сложившейся практики, показателям может быть присвоено количественное значение в абсолютных или относительных (сравнительных) величинах.
Желательно, чтобы все подразделения безопасности холдинга имели одинаковые цели. Если особенности дочерних обществ не позволяет этого, то как минимум, выраженные в одинаковых единицах измерения.
Как измерять?
В результате проведения унификации и стандартизации, все подразделения безопасности подчинены единым требованиям по содержанию работы и ее учету, благодаря чему, мы имеем набор типовых показателей, рассчитанных по единым правилам. Теперь их можно сравнивать и анализировать.
При этом, важно учитывать, что:
– Выявленный ущерб (убыток) – потери, которые наступили фактически. Их очень легко посчитать и подтвердить (акт инвентаризации, справка об ущербе).
В части утрат материальных (физических) активов, этот показатель может служить косвенным критерием эффективности СБ, так как чем надежнее система безопасности, тем труднее совершить хищение. То есть, чем он меньше, тем лучше, особенно если наблюдается ниспадающая динамика год к году.
В части экономических правонарушений или неэффективных затрат, подобный анализ уже не работает, потому что такие потери не материальны и зачастую не очевидны, не отражены в бухгалтерской отчетности. Более того, для их обнаружения требуются значительные усилия и высочайшее профессиональное мастерство сотрудников СБ.
– Возмещенный – активы, утраченные фактически, но, благодаря усилиям СБ возвращенные владельцу. Подсчет и подтверждение бухгалтерскими документами так же не вызывает трудностей.
В части утрат материальных активов, сравнение выявленного и возмещенного убытков формирует коэффициент покрытия потерь. Чаще используется в рознице или логистике. Считается, что, если он превышает 0,6 (из каждых 100 потерянных рублей, возмещено 60 и более), это хорошо.
– Предотвращенный – активы, которые были бы неизбежно утрачены, но сохранены в результате активностей службы безопасности.