Как обеспечить безопасность предприятия, если Вам лень этим заниматься

Управление рисками безопасности

Мы уже определили отличия между ощущением и состоянием защищенности, поняли, как оценивать их работу. То есть придали состоянию защищенности измеряемые и сравнимые числовые характеристики. Теперь необходимо устремить взгляд в будущее и научиться создавать условия, при которых вероятность наступления потерь от фрода и/или неэффективности будет минимальна.

В отличие от классического управления рисками через математическое моделирование, в этой главе затрагиваются только вопросы, связанные с угрозами безопасности, выявляемыми в результате проведенных расследований по фактам материальных или финансовых потерь, а также предпосылкам к их возникновению. Предлагаемая модель основана на методе масштабирования: от частного случая к идентификации и решению системной проблемы.

Анализ кейсов, систематизированных в Базе данных корпоративных расследований, позволяет выявить наиболее уязвимые (проблемные) бизнес-процессы или производственные участки, то есть угрозы для непрерывного и качественного функционирования организации, иначе говоря риски.

Риски бывают разные и степень их влияния на бизнес не одинакова. В зависимости от характера угроз, их можно принять, не принять или митигировать (устранить или понизить).

Как правило принимаются (то есть учитываются, без принятия мер) риски, вероятность реализации которых не значительна, либо стоимость внедрения защитных механизмов выше цены риска.

Например, при покупке (поглощении) одной компании другой, реципиент принимает риски, связанные с возможными проблемами интеграции оборудования или бизнес-процессов донора, так как это с лихвой компенсируется суммарным выигрышем от сделки.

Либо стоимость технических средств, гарантированно обеспечивающих безопасность груза при перевозке, кратно увеличивает логистические затраты, при том, что криминогенная обстановка на территории присутствия благоприятная. То есть вероятность утраты ценностей в результате противоправных действий минимальна, а перевозимое имущество не представляет интереса ни для кого, кроме получателя. В таком случае можно отказаться от вооруженной охраны, ограничившись пломбированием упаковок и контейнеров (принятие риска), либо переложить в договоре ответственность за сохранность груза на перевозчика или застраховать перемещаемое имущество (митигация риска).

Не принимаются риски, создающие угрозы дальнейшему функционированию предприятия, либо не приемлемые с точки зрения комплаенса или этических норм, принятых в компании.

Так, некоторые западные корпорации покинули российский рынок, потеряв прибыть и обнулив достигнутые успехи по захвату его доли, опасаясь санкций США, применение которых могло привести к остановке всего бизнеса (риски функционирования).

Или компания может отказаться от осуществления коммерческой деятельности в стране, где это невозможно делать без передачи взяток местным чиновникам (этические и комплаенс-риски).

Если же вероятность возникновения риска средняя или выше, а стоимость защитных мер разумна, то такие риски митигируются. То есть реализуются мероприятия, направленные создание условий, препятствующих их реализации, либо снижающие вероятность.

Степень влияния на бизнес определяется масштабом негативных последствий, наступающих вследствие реализации риска (по убыванию):

Невозможность дальнейшей деятельности

Несоблюдение требований регуляторов и/или законодательства

Финансовые потери

Сбои в оказании услуг (Value Added Services — VAS)

Отток клиентов (customer lifetime value — CLV)

Иные последствия

Для определения степени влияния выявленных угроз на бизнес, а также возможности митигации, все выявленные угрозы анализируются:

На основании полученных результатов формируется Карта рисков:

…где:

Для обеспечения контроля за текущим статусом работы по митигации рисков безопасности, ведется Реестр с описанием угроз, разбитых по бизнес-процессам, с указанием дирекций-владельцев, ответственных сотрудников (от функции и от СБ), предложенных корректирующих мер и результата их внедрения.

Например, такого вида:

Как правило, митигирующие мероприятия, предложенные службой безопасности, вначале не встречает поддержки у коммерсантов. Проблема аналогична рассмотренной нами в связи с показателем «Предотвращенный ущерб». По мнению бизнеса, СБ сгущает краски и завышает степень угроз.

Однако, если риск имеет денежное выражение, а его размер определен по объективным и понятным правилам, дискуссия переходит в конструктивное русло и появляются предпосылки к успешному взаимодействию.

В части организации повседневной работы подразделения безопасности, для своевременного выявления потенциальных рисков и эффективного управления ими, представителям СБ необходимо принимать участие в активностях других дирекций на всех этапах:

Профилактика

Проведение сотрудниками СБ:

регулярного обучения и инструктажей продавцов и материально-ответственных лиц (МОЛ);

проверок соблюдения регламентов розничной торговли «тайным покупателем» и по чек-листам;

проверок соблюдения регламентов посредством видеонаблюдения;

информирования бизнес-функций об успехах службы безопасности.

Нормотворчество

Участие специалистов СБ в разработке (или как минимум согласовании) локальных нормативных актов (Политик, Регламентов, Инструкций):

по обеспечению информационной безопасности;

по осуществлению закупочной деятельности;

регламентирующих движение и учет товарно-материальный ценностей;

по обеспечению сохранности товарно-материальных ценностей на объектах розничной сети;

по иным вопросам, содержащим риски безопасности.

Коллаборация

Участие экспертов СБ в рабочих группах и комитетах:

по разработке (согласованию) новых продуктов или маркетинговых активностей;

по оценке заявок, на проведение закупочных мероприятий на конкурентность;

по разрешению разногласий с контрагентами (претензии партнеров, дисквалификация подрядчиков);

по проведению сделок слияния, поглощения, продажи части имеющейся бизнес-инфраструктуры;

по оценке рисков создания дочерних предприятий, новых направлений бизнеса, реализации венчурных проектов.

Защита активов и информации

Организация и осуществление СБ технического (физического) контроля:

внедрение и совершенствование информационных систем контроля управление доступом, каналов связи и интернет-трафика, с возможностью их автоматического его блокирования;

регулярные инвентаризации товара силами материально-ответственных лиц;

периодические инвентаризации силами ревизионного подразделения;

проведение расследований по фактам утрат и недостач товара и иного имущества;

обеспечение пропускного и внутриобъектового режимов (автоматизированный контроль доcтупа, видеонаблюдение, посты физ. охраны).

Поддержка бизнес-процессов смежных функций

проверка контрагентов на риски взаимодействия;

проверка кандидатов на работу;

проверка действующих сотрудников на аффилированность с контрагентами и партнерами;

проверка действующих сотрудников на наличие конфликта интересов;

выработка предложений по совершенствованию процедур и бизнес-процессов;

пост контроль эффективности внедренных изменений.

Абсолютная, стопроцентная безопасность чего бы то ни было невозможна, но создать систему мер, направленных на ее обеспечение, задача вполне осуществимая, при условии, что внедрены прозрачные, достоверные и бизнес-ориентированные метрики для измерения и оценки состояния защищенности Вашей компании.