Безпека бізнесу. Прийшов час змінити стандартні підходи

Тенденція така — зараз перестають працювати традиційні процедури і необхідно змінювати сам підхід до побудови захисту всіх процесів компанії. Як це зробити

На запитання «хто відповідає за безпеку бізнесу?» переважна більшість власників бізнесу без вагань скаже — директор служби безпеки. Проте не завжди відповідь на це запитання така очевидна. Хто відповідає за стратегічні рішення? Власник скаже, що він, і буде правий. Шлях, яким вибудовується корпоративна безпека, — це стратегічне рішення власників бізнесу.

Вищому керівництву компанії належить ключова роль у розробці концепції корпоративної безпеки, визначенні необхідного рівня захисту, наданні повноважень на проведення оперативних заходів, здійснення фінансування діяльності з підтримки працездатності системи корпоративної безпеки. І не важливо, володієте ви структурованим холдингом або компанією, що швидко розвивається, якщо ви не приділяєте увагу корпоративній безпеці - ваш бізнес приречений.

Сучасний рівень розвитку технологій дає бізнесу небувалу раніше динаміку розвитку, але одночасно така ж динаміка з’являється і у зловмисників. У такій ситуації перестають працювати традиційні підходи до безпеки, і необхідно змінювати сам підхід до побудови захисту всіх процесів компанії. Служба безпеки повинна завоювати місце «за столом у бізнесі», щоб своєчасно реагувати на існуючі та нові загрози.

В Україні до недавнього часу було відсутнє розуміння, що таке корпоративна безпека, не кажучи вже про можливість пройти навчання на предмет побудови комплексного захисту бізнесу. Про низку підсистем корпоративної безпеки розповідали вузькопрофільні фахівці, які ділилися своїм досвідом виключно в рамках своєї компетенції, не розуміючи, що ці підсистеми мають ефективно взаємодіяти та доповнювати одна одну. На своїх семінарах адвокати і юристи розповідають про правову безпеку, HR-фахівці - частково про кадрову безпеку, фінансові аудитори — про ризики фінансово-економічної безпеки і так далі.

У 2018 році на базі Асоціації професіоналів корпоративної безпеки України (АПКБУ), був запущений курс «Керівник корпоративної безпеки», який дозволив структурувати знання про корпоративну безпеку і на прикладі практичних кейсів інтегрувати процеси корпоративної безпеки у процеси корпоративного управління. Аудиторію курсу складають переважно члени наглядових рад і рад директорів, керівники служб безпеки і юридичних департаментів, комплаєнс-офіцери і, що стало найбільшою несподіванкою, власники бізнесів. Також знаковою подією стало створення в Україні відділення Американського товариства промислової безпеки (ASIS International), що надалі сприятиме імплементації кращих світових стандартів у цій галузі, обміну досвідом та застосуванню кращих практик безпеки в Україні.

У моїй практиці був кейс, пов’язаний зі зловживаннями топ-менеджера, який працював в іноземному представництві глобальної корпорації в Україні. Він зумів організувати паралельний бізнес, не зважаючи на відповідну заборону згідно політик корпорації. Так, він сформував підконтрольну йому команду в представництві та реалізовував продукцію цього холдингу своїй компанії, надаючи їй найкращі умови та знижки, створивши таким чином прокладку між виробником та споживачем. Ця схема працювала декілька років, і, напевно, існувала б і досі, якби не виникла жадібність до «бонусів» підлеглих працівників. Один із них образився на керівника за розмір своєї винагороди за участь у схемі і скористався нагодою перевірити, як працює «гаряча лінія». У головному офісі на звернення оперативно відреагував Chief Security Officer (CSO). Було організовано і вдало проведено внутрішнє розслідування, а у подальшому — і кризове звільнення вказаного топ-менеджера за участю зовнішніх українських юристів та адвокатів, консультантів з форензік та безпеки. Навіть керівники і власники іноземних компаній, які відкривають в Україні представництва, маючи глобальні політики, прописані бізнес процеси та процедури, корпоративну культуру, систему бонусів, «білу» заробітну плату та інші контрольно-стимулюючі механізми, не розуміють, що виникатимуть інші ризики, адже управляти представництвами будуть українські топ-менеджери. Пояснюється це тим, що внутрішні і зовнішні ризики для бізнесу в Україні відрізняються від західних.

Це добре, що ситуація стала відома CSO, а якщо б усіх все задовольняло, то невідомо, коли і чи взагалі стало би відомо про зловживання топ-менеджера. Це трапилося через те, що у представництві відсутня система фінансово-економічної та кадрової (внутрішньої) безпеки, антикорупційний комплаєнс.

Здебільшого керівники служб безпеки українських компаній — вихідці з силових відомств, які за відсутності розуміння, як влаштований бізнес, як він працює і взаємодіє з бізнес середовищем, будують безпеку за принципом роботи Главку МВС, СБУ або ДФС. З огляду на відсутність відповідних знань непросто забезпечити безпроблемну, безперебійну, безконфліктну роботу підприємства без втрати активів і положення на ринку, ще й забезпечити стратегічний розвиток бізнесу. Варто зазначити, що побудова системи безпеки бізнесу фармацевтичної компанії відрізняється від агрохолдингу, виробничої компанії - від дистриб’юторської, рітейлу — від фінансової установи. Скрізь є своя специфіка, і без знань, розуміння і досвіду роботи в тому чи іншому бізнесі існує ймовірність не врахувати ризики, властиві конкретній галузі.

Вибудувана система безпеки компанії такими фахівцями не може гарантувати належну захищеність бізнесу від базових загроз. Поверхневі знання і відсутність систематичного навчання у сфері корпоративної безпеки ведуть до того, що система корпоративної безпеки не вдосконалюється паралельно із розвитком бізнесу. Важливо розуміти: «Безпека — це постійний процес, а не кінцевий продукт».

І тут виникає логічне запитання: «Як убезпечити бізнес і оцінити ступінь його захищеності, в тому числі і за наявності служби безпеки?». Відповідь очевидна — необхідно провести аудит безпеки. Важливо також розуміти, що систематичне проведення такого аудиту має велике значення для підтримки системи корпоративної безпеки у відповідності до нових потреб, зростання самої компанії, виникнення нових бізнесів-процесів і змін стандартів безпеки. І не менш важливий момент — контроль власної служби безпеки на відповідність усім вимогам сьогодення.

Основою для проведення аудиту корпоративної безпеки є з’ясування того, наскільки власник бізнесу зацікавлений у створенні дійсно працюючої системи корпоративної безпеки, чи втілена ця зацікавленість в чітко сформульовані політики компанії, чи усвідомлює власник необхідність здійснення суттєвих витрат на забезпечення належного рівня безпеки. Якщо цього базового фундаменту немає, то подальші розмови на тему безпеки безглузді, і компанії можна тільки поспівчувати.

З особистої практики аудитів та побудови систем корпоративної безпеки можна сказати, що здебільшого компанії мають локальні нормативні акти, що регулюють низку питань корпоративної безпеки — перелік інсайдерської інформації, мають систему внутрішнього аудиту та положення про неї. Також існує низка затверджених політик — дивідендна, інформаційна тощо. У річних звітах компаній навіть розкривається їхнє бачення ризиків, обов’язкові фінансові показники, відомості про органи управління, великі угоди та угоди з зацікавленістю.

Водночас наразі можна відзначити і низку істотних недоліків систем корпоративної безпеки. Наприклад, відсутній власний Кодекс корпоративного управління та Кодекс етики, відсутня система врегулювання корпоративних конфліктів, врегулювання конфлікту інтересів як серед працівників, так і серед акціонерів, членів Ради директорів, виконавчих органів, відсутня антикорупційна політика, ділова (корпоративна) розвідка, власник та ключові топ-менеджери не мають фізичного захисту, відсутня діюча кризова група та багато іншого.

Сам аудит безпеки — це комплексне рішення у сфері комерційної безпеки, яке являє собою всебічне вивчення стану захищеності бізнесу на предмет виявлення зовнішніх і внутрішніх загроз. Вибудована система корпоративної безпеки являє собою інструмент, який дозволяє уникнути втрат, примножити капітал та зберегти надбане для наступних поколінь.

Під час проведення аудиту корпоративної безпеки бізнесу я використовую Global Security Assessment (GSA) — програмний комплекс, який дозволяє провести аналіз стану зрілості системи корпоративної безпеки, розроблений на базі міжнародних стандартів безпеки, наукових робіт і дисертацій з питань безпеки, профільної літератури вітчизняних і зарубіжних авторів, а також практичного досвіду професіоналів корпоративної безпеки, адаптованого під український ринок. Аналітичний модуль GSA консолідував у собі check-list з понад 1600 питань щодо структури і підсистем корпоративної безпеки.

Результати аудиту максимально конкретні - він дає об'єктивне уявлення про уразливість і ризики, дає оцінку поточного рівня захищеності бізнесу відповідно до існуючих стандартів у сфері антикорупційного комплаєнсу, ризик-менеджменту, менеджменту систем інформаційної безпеки, а також іншим міжнародним стандартам та системам корпоративної безпеки і надає чіткі рекомендації з впровадження нових і підвищення ефективності існуючих механізмів безпеки.

Тому на питання: «Хто відповідає за безпеку?» відповідь одна — власник. І навіть не тільки за безпеку бізнесу, а і за особисту безпеку, безпеку своєї родини. Не варто забувати і про забезпечення правонаступництва власності і бізнесу. А відповідальність за організацію системи корпоративної безпеки та підтриманні її у належному стані лежить вже на директорі служби безпеки.

Спеціально для НВ Бізнес

Більше поглядів — у розділі Експерти НВ Бізнес