• Главная
•  > 
• Статьи
•  > 
• Слабое звено системы безопасности

Слабое звено системы безопасности

Вячеслав Панкратьев

Здравствуйте, Вячеслав. Может быть этот вопрос Вам, как эксперту в области безопасности бизнеса, покажется наивным, но я не могу его не задать. Что такое кадровая безопасность и чем она отличается от прочих видов внутрикорпоративной безопасности?

Прежде чем начинать разговор о кадровой безопасности, нужно дать определение того, что же такое безопасность. Безопасность - это состояние защищенности. Если мы говорим о кадровой безопасности, то речь идет о состоянии защищенности организации от противоправных действий своих сотрудников. Все-таки, самое слабое звено в любой системе безопасности - это человеческий фактор.

Противоправные действия, как правило, делятся на действия, которые классифицируются по уголовному кодексу, по административному кодексу, и противоправные действия, ответственность по которым возникает по трудовому кодексу, то есть то, что может и должен контролировать работодатель.

И хотя законодательно предусмотрена ответственность наемных сотрудников за причинение ущерба работодателю, на практике некоторые статьи, в частности УК, применяются очень слабо. Например, статья 183 УК РФ “Разглашение коммерческой тайны”. Мне известны всего несколько случаев привлечения к ответственности по этой статье. Такие статьи как хищение, кража, порча имущества работают и применяются к сотрудникам достаточно часто.

Для того, чтобы применять дисциплинарные способы воздействия на сотрудников, работодатель должен создать нормативную базу документов, регламентирующих действия сотрудников. По трудовому договору сотрудник обязан выполнять локальные нормативные акты работодателя, и за их нарушение применяются дисциплинарные воздействия, вплоть до увольнения. Нормативная база состоит из различных должностных инструкций, начиная с пропускного режима, и заканчивая оборотом материальных ценностей. Сюда так же можно отнести инструкции по конфиденциальному делопроизводству, порядок обращения с персональной информацией, и так далее. Нормативные акты нужны для того чтобы определить рамки того, что сотрудник должен делать и в случае совершения сотрудником противоправных действий иметь возможность привлечь его к ответственности. Но сами по себе нормативные акты не могут предотвратить нарушений, необходим контроль их исполнения. Этот контроль обычно осуществляет сотрудник службы безопасности. Если в компании нет службы безопасности, то этот вопрос решает служба персонала или юристы.

С какими видами нарушений чаще всего приходится сталкиваться?

Корпоративное мошенничество, откаты, различного рода злоупотребления. Но чаще всего приходится сталкиваться с разглашением информации, хищениями и всем, что связано с корпоративным внутренним мошенничеством, формы проявления которого очень разнообразны. Эти три проблемы достаточно серьезны, и в некоторых компаниях их приходится решать буквально ежедневно. Есть менее серьезные проблемы, которые, как правило, перекладываются на плечи других должностных лиц. Соблюдение трудового распорядка дня, трудовой дисциплины и так далее. Но нарушение трудового распорядка – это не такая большая угроза безопасности компании.

Какими методами можно вести профилактику, чтобы не было нарушений?

Работа должна идти на упреждение. Когда людей начинают наказывать - это работа вторичная. Первичная работа безопасности - это работа по созданию условий, в которых нарушение невозможно или затруднительно. Привинтивные действия это действия, которые направлены на недопущение противоправных действий. Таких действий очень много. Это и мотивация персонала, и разбивание полномочий человека, кадровая политика, это проверка персонала при приеме на работу. Это достаточно большой комплекс мероприятий, который проводится до того как что-то случилось. Лишение возможности совершения каких-либо противоправных действий.

Какие самые действенные мотивирующие факторы Вы могли бы назвать?

У Карнеги есть фраза о том, что чтобы что-то сделать, надо чтобы человек захотел это сделать. Вся мотивация должна быть направлена на то, чтобы человек не захотел совершить противоправные действия. Тогда это будет эффективно. Если человек не хочет этого делать, значит он этого не совершит. Если говорить о мотивации, то это либо материальная мотивация, либо нематериальная мотивация. Это два глобальных направления. Сильнее считается нематериальная мотивация. Самая сильная нематериальная мотивация – это идеология. Но замотивировать персонал с точки зрения идеологии очень сложно. В этом случае речь идет об этических вещах, о миссии компании и так далее. Эта тема выходит далеко за рамки небольшого интервью, поэтому не вижу смысла углубляться в этот вопрос.

Что толкает сотрудников на противоправные действия?

Ослаблению лояльности способствует огромное количество факторов. Начиная от морально-психологического климата в коллективе и заканчивая зарплатой и условиями, которые существуют в организации. Это комплексный, разносторонний вопрос. У каждого человека свой мотив, почему он работает в организации, почему он работает здесь и какой у него взгляд на жизнь.

То есть для того, чтобы понять насколько тот или иной сотрудник может представлять опасность для компании необходимо определить какими мотивами он движим?

Существуют разные методики. Есть специальные программные комплексы оценки персонала с точки зрения его надежности (типа израильской программы medot). Программа позволяет работать на упреждение и вычислять людей, которые могут совершить противоправные действия. Вопрос спорный с точки зрения эффективности, но ею пользуются и она приносит определенные результаты. Эта программа есть в свободной продаже. Есть организации, которые предоставляют эти услуги. Либо формируется морально-психологический склад человека. И, исходя из его морально-психологического склада, выстраиваются риски, которые с ним связаны. Плюс на это накладываются полномочия, которые существуют у этого человека. Безопасник делает карту рисков, связанных с угрозами, которые человек может представлять, исходя из полномочий. На это накладывается анализ деятельности человека, его окружение, его потребности. Часто противоправные действия совершаются потому, что у человека возникла ситуация, когда ему срочно требуются деньги или вещи.

Служба безопасности должна быть в курсе личной жизни сотрудника?

Идеальных людей среди персонала нет. Надо исходить из того, что практически каждый человек может совершить какие-то правонарушения. За исключением собственника компании, который не заинтересован в нанесении ущерба собственной компании. И то, он может совершить какие-то действия по причине непрофессионализма или по недомыслию. Как правило, умышленно он этого не совершает. Остальные люди могут при определенных обстоятельствах совершать противоправные действия.

Кадровая безопасность предполагает выстраивание отношений между персоналом и службой безопасности с точки зрения вычисления причин, которые могут быть основой для совершения противоправных действий. Это и долги, и семейные неприятности, и еще масса вещей, которые выявляются при грамотной работе службы безопасности. Эти вещи вычисляются. Их можно предотвратить и просто попытаться помочь сотруднику решить его проблемы, повысив тем самым его лояльность.

Как именно служба безопасности вычисляет сотрудников, совершающих действия противоправного характера?

В кадровой безопасности есть такое понятие «растровые признаки опасности». Есть признаки, по которым можно вычислить, что человек может совершить противоправные действия. Сюда входят: большие траты денег, изменение психологического состояния.

При грамотной оперативной работе с людьми многое можно вычислить и понимать. По России есть статистика по хищениям. 10% сотрудников всегда воруют в компании. 10% никогда не воруют. И 80% будут воровать когда будут понимать, что за это им ничего не будет. Работа должна производиться по вычислению этих 80% . Надо сделать так, чтобы у них не было ни условий, ни возможности, ни желания воровать. Тогда они будут работать нормально.

Можно ли бороться с откатами простым разбиением полномочий?

Борьба с откатами очень сложна. У нас, к сожалению, весь бизнес пронизан системой откатов. Свести до нуля это практически невозможно. Можно минимизировать все риски тогда, когда у компании возникает ущерб в связи с откатами. Это может быть ущерб по деньгам, когда совершаются закупки по двойной цене. Это может быть ущерб имиджевый, когда закупаются плохие продукты. Разбивание полномочий на части – это один из принципов борьбы с откатами, минимизация угроз. В основном – это коллегиальность в принятии решений через торги, конкурсы, через систему внутреннего согласования, которая есть в организации контрактов. Это и кадровая политика, и ротация кадров, и анализ ценовой политики с целью снижения цены. Вопрос комплексный им, как правило, начинают заниматься, когда возникает ущерб организации. В принципе – это работа на будущее с применением психологических приемов, но свести до нуля все риски практически невозможно. Составляется карта рисков с перечнем должностей с высокими рисками откатов. Примерно так же, как государство сопоставляет должности с коррупционными рисками. Оценка людей, проводится оперативная работа с контрагентом для того, чтобы вычислить людей, сидящих на откатах. В некоторых случаях, если нет подобных рисков организации не борются с откатами. Хотя в любом случае, это сказывается на морально-психологическом климате.

Как преподнести систему профилактики безопасности кадров? Нужно ли проводить подобные мероприятия открыто?

Если сотрудники знают, что существуют элементы контроля, они будут понимать что в случае совершения противоправных действий они попадутся и у них будут проблемы. Наиболее эффективен элемент выборочного контроля. Желательно, чтобы этот контроль был ненавязчив. Жесткий контроль психологически неприятен. Если люди понимают, что их действия контролируются, все бумаги, которые они приносят проверяются, то желание принести поддельные документы, как правило, не возникает. Это не говорит о недоверии. Это элемент контроля. Контроль есть везде: в государстве, в коммерческой структуре. Вы идете домой, огромное количество камер зафиксирует Ваше передвижение. Никто не возмущается, не шумит, не кричит. Да, система контроля существует, но она будет задействована тогда, когда будет необходимость.

Как лучше осуществлять контроль?

Контроль делится на две части: плановый и внеплановый. Истинное положение дел покажет внеплановый контроль. Люди должны быть проинформированы о том, что все контролируется. Это спасет от определенного уровня угроз. Если люди это не очень понимают и все равно начинают совершать какие-то действия, то им надо дать понять, что мы знаем, что Вы что-то совершили и предлагаем это больше не совершать. Если они и дальше это совершают, тогда включается механизм принуждения и воздействия. Умные люди понимают на первом этапе. С глупыми - приходится доводить до третьего.

Каким образом лучше поступить при нанесении убытков?

Все на усмотрение руководителя. Как правило, служба безопасности выявляет нарушения и показывает руководителю. Дальше руководитель принимает решение, что делать. В некоторых случаях ограничиваются беседой с человеком. В некоторых случаях ничего не делают. Потому что человек приносит прибыль организации значительно больше, чем ворует. Таких случаев очень много, особенно, что касается топ-менеджеров. Да, закрываем глаза на некоторые злоупотребления, но, по крайней мере человек приносит прибыль. В бизнесе, как правило, нет белого, нет черного. В некоторых случаях идут на то, чтобы возбуждать уголовные дела, чтобы другим неповадно было. Крупные организации не особо стесняются доводить дело до суда, потому что у них достаточно серьезный имидж и сам факт возбуждения уголовного дела по статье «мошенничество», это серьезный психологический эффект для всех остальных сотрудников. В некоторых случаях решают все на уровне бесед и внутренних разборок.

Последний вопрос. До тех пор, пока сотрудник работает в компании, он ограничен в своих действиях нормативными документами. Но после увольнения никто не мешает ему использовать имеющуюся у него информацию во вред бывшему работодателю. Как следует поступить в этой ситуации руководителю компании?

При увольнении сотрудника, имевшего доступ к конфиденциальной информации рекомендуется проводить следующие мероприятия:

• сделать резервную копию служебной информации увольняющегося сотрудника;
• организовать передачу дел;
• выяснить причины увольнения;
• выяснить будущее место работы;
• выяснить мотивацию увольняющегося сотрудника и его лояльность к компании;
• выяснить объем известной ему конфиденциальной информации;
• установить возможные риски разглашения конфиденциальной информации и принять меры к их нейтрализации;
• поменять коды доступа, компьютерные пароли, ключи криптозащиты, которые были известны увольняющемуся сотруднику;
• проверить, чтобы увольняющийся сотрудник сдал имеющиеся у него источники конфиденциальной информации;
• проанализировать деятельность подразделения, где работает увольняющийся сотрудник: не было ли пропаж или утери документов с коммерческой информацией, образцов готовой продукции, ключей от кабинетов и сейфов и иных предметов, носящих конфиденциальный характер;
• провести специальный инструктаж с увольняющимся сотрудником о сохранении конфиденциальной информации после увольнения;
• установить, с кем в коллективе увольняющийся сотрудник поддерживал приятельские или дружеские отношения. Эти работники должны пройти специальный инструктаж и находиться под контролем, так как через них возможна утечка информации или иные негативные действия против компании;
• провести беседу с персоналом, в ходе которой объяснить им причины увольнения их коллеги;
• оповестить всех сотрудников компании, а также партнеров, постоянных клиентов и иных лиц, с которыми поддерживаются тесные взаимоотношения, о том, что сотрудник уволен.

Этот перечень мероприятий не может сократить риски до нуля, но может значительно обезопасить компанию от нежелательных утечек информации.

• Антикризис 2.0: безопасность прежде всего
• Аудит безопасности предприятия. Создание и внедрение корпоративных стандартов безопасности
• Безопасное увольнение. Право и кадровая политика
• Безопасные взаимоотношения предприятия с государственными контролирующими и правоохранительными органами
• Выполнение требований законодательства о безопасности критической информационной инфраструктуры
• Выполнение требований законодательства по противодействию коррупции в органах государственной власти и органах местного самоуправления
• Защита от мошенничества
• Конкурентная разведка. Оценка надежности контрагентов и безопасности коммерческих предложений
• Обеспечение безопасности предприятия при антикризисном управлении
• Проведение антикоррупционного аудита на предприятии
• Увольнение. Безопасно и бесконфликтно
• Управление комплаенс-рисками. Создание системы комплаенс-контроля
• Щит и меч. Внутренние проверки и финансовые расследования