Создание системы безопасности бизнеса компании

(Мартынов С. А.)

("Безопасность бизнеса", 2009, N 1)

Текст документа

СОЗДАНИЕ СИСТЕМЫ БЕЗОПАСНОСТИ БИЗНЕСА КОМПАНИИ

С. А. МАРТЫНОВ

Мартынов С. А., руководитель Службы внутреннего контроля и аудита ОАО "СУЭК".

ОАО "Сибирская угольная энергетическая компания" (СУЭК) - крупнейшее в России угольное объединение и единственная отечественная компания, входящая в десятку лидеров мирового угольного рынка. На сегодняшний день СУЭК также является одним из крупнейших частных инвесторов в электроэнергетике России.

Компания занимает первое место в России и седьмое в мире по объемам добычи энергетического угля. В 2008 г. предприятия СУЭК добыли и поставили потребителям 96 млн. тонн угля. Компания обеспечивает 31% поставок энергетического угля на внутреннем рынке и более 25% российского угольного экспорта. В 2008 г. объем экспорта составил 25 млн. тонн угля.

СУЭК является стратегическим инвестором сибирских и дальневосточных энергокомпаний: ОАО "Кузбассэнерго", ОАО "Енисейская ТГК (ТГК-13)", ОАО "Дальневосточная энергетическая компания".

В компании работают более 36000 сотрудников. Филиалы и дочерние предприятия СУЭК расположены в Республике Бурятия, Кемеровской области, Красноярском крае, Приморском крае, Хабаровском крае, Республике Хакасия и Читинской области.

В развитии понимания и подходов к обеспечению безопасности бизнеса, на мой взгляд, сегодня отчетливо прослеживается ряд тенденций.

1. Переход от набора отдельных мер по обеспечению безопасности отдельных процессов (охраны имущества, ИТ-безопасности и т. д.) к пониманию необходимости комплексного подхода, который включает в себя системный анализ набора угроз безопасности бизнеса и выработку конкретных мер оценки и противодействия каждой угрозе. Например, в равной мере нужно оценивать угрозы со стороны рынка и различных регуляторов.

2. Перенос центра внимания (и затрат) с мер реагирования на уже случившийся инцидент на оценку величины риска и принятие превентивных мер, снижающих возможность осуществления инцидента.

3. Понимание того, что в современном бизнесе персонал становится главным активом любой компании, несмотря на то что его стоимость никак не отражается в финансовой отчетности организации. Не имущество (материальные активы) и даже не информация, а персонал.

4. Персонал становится также главным источником угроз для безопасности компании. Не внешние угрозы, не угроза потери или разглашения информации, а угрозы, исходящие от персонала или осуществляемые посредством персонала, сегодня наиболее значимы для любой организации.

5. Увеличение уровня развития информационных технологий привело к тому, что все большая часть информации организации находится в информационных системах и доступна большому количеству сотрудников. Соответственно, увеличиваются риски, связанные с доступом сотрудников к большому объему информации.

6. С развитием технических средств (носители и средства передачи информации) сложность защиты информации от умышленного разглашения сотрудниками возрастает.

Все перечисленные факторы вынуждают нас по-новому взглянуть на концепцию безопасности бизнеса компании. Прежде всего нужно дать определение безопасности бизнеса. Это меры по защите бизнеса от потенциальных потерь, которые могут быть вызваны тремя основными причинами:

1. Умышленные действия третьих сторон и персонала, направленные против бизнеса компании. Это все те действия, которые могут быть признаны в соответствии с законодательством нелегальными. Ключевое слово здесь - умышленные. Не важно, кто действует - собственный персонал или третьи лица, какие именно интересы компании нарушаются.

2. Потенциальные недостатки системы внутреннего контроля (СВК), контрольных процедур. Если они несовершенны, то персонал может наносить ущерб компании, даже не имея плохих намерений. Например, расходуя в производстве большее количество материалов, чем в действительности необходимо, из-за отсутствия процессов нормирования.

3. Негативное влияние внешних условий. Они не могут быть легальными или нелегальными, они не зависят от деятельности персонала или третьих лиц. Это просто сложившиеся обстоятельства - ситуация на рынке, конкуренция, изменения курса валют, появление новых продуктов. Это то, что происходит вне компании и не поддается регулированию, но может отрицательно влиять на эффективность бизнеса. Сюда же относятся различные форс-мажорные обстоятельства по внешним причинам, такие как аварии, стихийные бедствия и т. п.

Базируясь на данном определении безопасности, можно создать комплексную систему защиты безопасности бизнеса. Для этого необходимо определить две основные составляющие системы: защищаемые объекты и источники угроз.

Объекты защиты - активы

По сути, у организации есть только два объекта, которые можно защищать: это то, что она имеет (активы), и сам процесс создания добавленной стоимости (текущие операции).

Рассмотрим активы как объекты защиты и сгруппируем их по признакам однотипности их свойств и методов защиты.

К первому типу активов относятся материальные активы: оборудование, здания, запасы, готовая продукция и т. д. Эти активы наиболее подвержены таким угрозам, как хищение путем кражи или мошенничества.

Вторая важная группа активов - это информация во всех формах: коммерческая информация, ноу-хау, персональные данные сотрудников, государственная тайна и другие нематериальные активы - репутация, бренд и т. п. Выделение этой группы активов в отдельную группу связано со спецификой этих активов, например способностью терять свою стоимость в результате разглашения или изменения общественного мнения.

Наконец, третий, самый важный сегодня и очень специфический актив компании - это ее персонал. Компания вкладывает большие средства в обучение своих работников, они являются носителями коммерческой информации, владеют отношениями с покупателями, они принимают решения и обеспечивают успешность операций компании. Специфика данного актива в том, что он не является собственностью организации и может быть утрачен в результате ухода сотрудников независимо от желания менеджмента и собственников. Поэтому мы должны быть уверены в физической защищенности персонала, его лояльности и уметь своевременно выявить риски, связанные с персоналом.

Объекты защиты - операции

Второй группой объектов защиты являются операции компании. Просто сохранить имеющиеся активы для компании недостаточно, активы должны генерировать добавленную стоимость, прибыль. Она создается в процессе ежедневных операций, и эта способность компании также нуждается в защите. Поэтому, говоря об обеспечении экономической безопасности компании, мы должны рассматривать в качестве объектов защиты не только те активы, которые у нас есть, но и те ежедневные операции, от которых зависит способность производить прибыль и стабильность компании в будущем.

Можно выделить три основных объекта защиты в операциях компании:

- эффективность текущих операций;

- эффективность стратегических и инвестиционных решений;

- обеспечение непрерывности бизнеса.

Эффективность текущих операций компании. Это прежде всего обоснованность текущих расходов, себестоимость продукции, а также защита от хищений материалов, готовой продукции и прочих активов, при использовании их в процессах текущих операций.

Эффективность стратегических и инвестиционных решений. Если организация производит расходы, которые дадут прибыль в будущих периодах, то особое значение приобретает анализ обоснованности расчетов и решений, на основе которых принимаются такие решения. Для инвестиционных проектов характерен повышенный риск необоснованных, неэффективных и не соответствующих стратегии компании решений, поскольку получение результата отдалено по времени от периода осуществления расходов. Деньги тратим сейчас, обещая золотые горы через несколько лет. Часто через несколько лет спросить оказывается не с кого - те, кто затевал проект, в компании уже не работают, деньги истрачены, а результат совсем не соответствует ожиданиям. Кроме того, любой специалист знает, что различные капитальные вложения - наиболее критическая с точки зрения хищений сфера.

Обеспечение непрерывности бизнеса. В современном очень динамичном и конкурентном мире защита непрерывности бизнеса стала одним из ключевых аспектов его безопасности. В некоторых случаях остановка операций даже на месяц может привести к замещению вашей продукции или услуг конкурентами, к потере своей доли рынка, доверия потребителей.

Источники угроз экономической безопасности

Определив защищаемые объекты, далее определим источники угроз, также сгруппировав их по типам. Прежде всего источники угроз могут быть внешние, извне организации, и внутренние, находящиеся внутри организации.

К внешним источникам угроз будем относить:

- рынок. В это понятие входит все, что исходит извне и является нормальным изменением внешних условий, соответствует применимым законам и обычаям. Например: изменение курса валют, спроса, появление новых конкурирующих продуктов и услуг и т. д.;

- недобросовестная конкуренция и иные противоправные действия против интересов компании, например кража коммерческой информации конкурентами. Это действия, сознательно совершаемые третьими лицами против интересов компании, причем с нарушением законодательства или иных регуляций;

- источники угроз для репутации компании. Третье - это угрозы репутации компании, т. е. ее имиджу во внешней среде. Эти угрозы могут исходить как от правительственных органов, так и от общественных организаций - прессы, профсоюзов, в том числе и как результат коррупции, т. е. взаимодействия организации с чиновниками, которые вымогают взятки. Мотивом в этом случае могут быть также политические, религиозные и другие основания. Например, существует религиозная организация, которая считает аморальным и стремится не допустить присутствия вашей компании в регионе. Здесь нет конкуренции как причины угрозы. Обычно эти источники угроз не направлены непосредственно против организации и ее бизнеса как таковых, а преследуют другие цели, для достижения которых организация должна соответствовать предъявляемым требованиям или "быть принесена в жертву". Угрозы такого рода могут возникнуть по вине самой организации, например если она участвует в коррупции в стране, где ведет свой бизнес, даже если в этой стране коррупция является фактически нормой делового оборота;

- катастрофы. Сюда относятся стихийные бедствия, промышленные аварии, террористические акты и другие внешние угрозы, которые имеют большой ущерб, трудно предсказуемы, относительно редки и предотвращение которых очень затратно либо невозможно.

Внутренние угрозы исходят:

- от персонала, например: разглашение коммерческой и персональной информации, умышленные нарушения контрольных процедур, в том числе с целью хищения, саботаж, халатность;

- из-за недостатков (дефектов) системы внутреннего контроля - когда необходимые контрольные процедуры отсутствуют, или несовершенны, или не выполняются сотрудниками из-за неосведомленности о них.

Участники процессов обеспечения безопасности бизнеса

В процессах обеспечения экономической безопасности компании принимают участие различные подразделения и специалисты организации. Но мы выделим три основные группы участников: 1) менеджмент (сюда же относится риск-менеджмент как подразделение, ответственное за организацию системы управления рисками); 2) служба безопасности (СБ) и 3) внутренний аудит (ВА). Такое деление связано с тем, что эти группы участников играют различные роли в процессах обеспечения безопасности бизнеса.

Менеджмент.

Главная функция менеджмента - это управление бизнесом, но это понятие также включает в себя и обеспечение экономической безопасности бизнеса, активное участие во всех процессах, наряду с остальными участниками. Нельзя считать, что обеспечение экономической безопасности - это функция только внутреннего аудита и службы безопасности. Фокус точки зрения на информацию этого участника - оценка рисков, выработка и осуществление мер по их снижению и выработка мер на случай осуществления событий риска, т. е. информация о будущих событиях, экспертные оценки и суждения.

Второй участник процесса - это служба безопасности (СБ), которая в основном отвечает за охрану периметра, физическую защиту и взаимодействие с правоохранительными органами, а также занимается сбором информации от своих источников информации и внутренними расследованиями. Традиционно эта служба более ориентирована на информацию об уже произошедших событиях (фактах, доказательствах), чем на будущих, предполагаемых.

Третий участник - это внутренний аудит (ВА), который осуществляет оценку эффективности системы внутреннего контроля, т. е. мероприятий, проводящихся в компании для ее защиты от внешних и внутренних угроз, и оценивает уровень рисков. Внутренний аудит также осуществляет аналитическую работу при проведении расследований. Часто в состав ВА включается контрольно-ревизионная функция, связанная с проведением финансовых расследований. Таким образом, внутренний аудит занимает с точки зрения фокуса на информацию промежуточное положение между менеджментом и СБ - он оперирует как фактами (аудиторскими доказательствами, так и оценками и суждениями о рисках, которые следуют из недостатков контрольных процедур). Другое важное отличие от других участников - внутренний аудит не принимает управленческих решений и является объективным и независимым источником информации для совета директоров и высшего менеджмента компании.

Разработка методов защиты

Итак, мы определили объекты защиты, источники угроз и участников процесса. Теперь мы можем консолидировать всю эту информацию и на ее основании разработать мероприятия, которые помогут предотвратить угрозы или смягчить их негативные последствия для компании.

Между источниками угроз и объектами защиты есть конкретный вид угрозы и конкретное событие риска, которое происходит для каждого вида угрозы.

Процесс создания системы экономической безопасности бизнеса заключается в анализе видов угроз, которые могут исходить от источника угроз, и соответствующих каждому виду угроз событиям риска. Получается цепочка вида: "источник угрозы - вид угрозы (какие последствия ожидают компанию в случае, если угроза реализуется) - событие риска (конкретное событие, которое является причиной данного события риска) - объект защиты". То есть для каждого источника угрозы мы определяем, какие виды угроз он несет для различных объектов защиты, а также вероятные последствия в случае реализации риска. Важно, что между событием риска и видом угрозы должна находиться "контрольная процедура" (говоря языком аудиторов) или, говоря языком специалистов по безопасности, "мероприятие по предотвращению угрозы". Разработка такого мероприятия для каждой пары "вид угрозы - событие риска" и является собственно созданием системы экономической безопасности. Необходимо разрабатывать два вида процедур (мероприятий): первые - направленные на снижение риска, вторые - на минимизацию его последствий, если риск все-таки осуществился.

Например, если взять рынок как источник угрозы, а текущие операции в качестве объектов защиты, то между ними можно обнаружить различные виды угроз от разных источников. Каждый источник угрозы может вызвать специфичные события риска. Например, в качестве угрозы мы рассматриваем снижение спроса из-за появления на рынке дешевых аналогов нашего продукта. Если это случится, то в компании снизится объем продаж. Владея всей этой информацией, мы можем разработать процедуры, которые помогут нам снизить угрозу. Например, мероприятия по снижению себестоимости производства и разработка новых видов продукции с более высокими потребительскими качествами.

Другой пример, в графической форме:

Источник угрозы Объект защиты

Рынок Персонал

Вид угрозы Событие риска

Невозможность Уход из компании

> разрабатывать > ключевых <

новые продукты разработчиков

/ \

Методы защиты

- Опционная программа;

- Конкурентная зарплата

Преимущество данного подхода к обеспечению безопасности бизнеса - системность, что позволяет снизить вероятность забытых участков ("дыр") в защите бизнеса. Нетрудно заметить, что одновременно данная система может рассматриваться как система управления рисками организации.

Создание системы экономической безопасности в компании можно представить в виде матрицы из источников угроз и объектов защиты. На пересечении этих элементов мы пытаемся оценить типы угроз, возможные события риска и процедуры, которые должны иметь место в каждом случае. При этом важно отметить необходимость создания рабочей группы, включающей всех участников процесса, для анализа угроз и выработки мер по противодействию им.

Объекты защиты

Материальные Информа - Персо - Текущие Инвес - Непре -

активы ционные нал операции тиции рывность

активы бизнеса

Рынок

Недобросо -

вестная

конкурен -

ция

Репутация

Исто -

чники Катастрофы

угроз

- Виды угроз

Персонал - События /////

риска

- Методы \\\\\

снижения

риска ХХХХХ

(с указанием

ответственности)

Несовер -

шенство

контролей

Распределение функций по предотвращению угроз

/ - Менеджмент \ - Внутренний аудит Х - Служба безопасности

Здесь символически изображено, что в реализации мероприятий по снижению угроз принимают участие и менеджмент, и СБ, и ВА. Возможно любое сочетание и степень участия этих подразделений в мероприятиях.

Возьмем для примера персонал как источник угрозы и материальные активы как объект нашей защиты.

В функции менеджмента здесь входит разработка мероприятий по повышению лояльности персонала, увеличение прозрачности процессов, связанных с движением активов, поддержка и финансирование мероприятий службы безопасности, наказание виновных в нарушениях, информирование сотрудников и т. п. Служба безопасности определяет потребность в охранном оборудовании, инициирует его закупки, формирует базу информаторов. Внутренний аудит оценивает обоснованность и эффективность проводимых мероприятий, в том числе оценивает уровень лояльности персонала.

Интересный факт в данной матрице: персонал является как объектом защиты, так и источником угроз, что еще раз подчеркивает его первостепенную важность для обеспечения безопасности бизнеса. Низкая мотивированность персонала, его нелояльность, слабая корпоративная культура в организации - это неполный перечень "болевых" точек любой современной организации, особенно при обострении конкуренции в период кризиса.

Название документа