Структурные и организационные решения

Как любой менеджер функционального уровня, менеджер по безопасности должен обладать стратегическим мышлением и формулировать стратегию развития системы безопасности предприятия (объединения, корпорации). При этом руководитель службы безопасности должен знать стратегию бизнеса в целом, понимать роль и место своей функции в общей стратегии и обладать качествами лидера и инновационными способностями. Руководители, которые не в состоянии возглавить процесс развития и совершенствования, склонные к консервативному мышлению и пассивному организационному поведению, не сумеют быть эффективными на своем месте. Таких менеджеров, скорее всего, заменят другими управленцами, в большей степени соответствующими предъявляемым к ним как к функциональным руководителям требованиям.

К топ-менеджерам самостоятельных юридических лиц (компаний), осуществляющих предпринимательскую деятельность в рамках индустрии безопасности, предъявляются еще более серьезные требования, поскольку они не выполняют одну из вспомогательных функций внутри большого бизнеса, а организуют деятельность компании по продвижению своих работ, товаров и услуг на конкурентных рынках. Собственно говоря, первые лица таких компаний организуют предпринимательскую деятельность в полном объеме, так же, как и топ-менеджеры других компаний, работающих в иных отраслях экономики.

При осуществлении стратегического и текущего планирования менеджер по безопасности, так же, как и другие его функциональные коллеги, осуществляет ситуационный анализ по методологии классической идентификации SWOT (от англ, strengths, weaknesses, opportunities, threats — сильные стороны, слабые стороны, возможности, угрозы), выделяя внешние возможности и угрозы, а также внутренние сильные и слабые стороны компании, ее службы безопасности. Для сферы безопасности такой анализ имеет собственную структуру, отличную от SWOT-анализа бизнеса в целом. Рассмотрим такую схему применительно к функции обеспечения безопасности промышленного предприятия (рис. 44.2). Составление подобной таблицы не представляет никаких профессиональных проблем: в нее внесены основные направления обеспечения безопасности предприятия, в каждом разделе приведено их краткое описание. Важно, чтобы это описание носило объективный характер, позволяло выявлять проблемы, над которыми следует работать в ближайшее время или в рамках стратегической перспективы.

К примеру, в разделе экономической безопасности матрицы на рис. 44.2 указано, что контрагенты предприятия изучаются поверхностно. Не исключено, что эти выводы сделаны на основе конкретных фактов деловой активности компании в данной области. Причины состоявшихся негативных фактов, как следует из этого же раздела, вероятно, кроются в недостаточном уровне подготовки сотрудников, выполняющих функции экономической безопасности, а также в нежелании подразделений по привлечению клиентов активно взаимодействовать со службой безопасности в рамках единого стандарта. Все это также связано с отсутствием на предприятии нормативного документа, определяющего задачи каждого подразделения в работе по привлечению контрагентов, порядок координации совместной работы и коммуникаций между подразделениями.

Из данного описания следует, что руководителю службы безопасности необходимо включить в текущие планы мероприятия по повышению квалификации своих сотрудников, а также подготовку и согласование с заинтересованными подразделениями проекта изучения потенциальных контрагентов предприятия. Вероятно, что опытный руководитель службы безопасности на основе SWОТ-анализа только данной сферы деятельности подготовит предложение в план стратегического развития о необходимости внедрения в практику своей службы системы непрерывного профессионального образования персонала.

Рис. 44.2. Пример матрицы SWOT-анализа для системы безопасности промышленного предприятия.

Аналогичным образом необходимо проводить анализ состояния иных отраслей безопасности, присущих каждому конкретному предприятию. При этом важно, чтобы этот анализ проводился с участием менеджеров среднего звена и коллективов.

Согласно логике планирования выявленные проблемы влекут за собой подготовку и реализацию структурных и организационных решений.

К примеру, на том же рис. 44.2 проведен SWOT-анализ области информационной безопасности. Из него следует, что на предприятии действует только подразделение автоматизации, функция информационной безопасности нс выделена и нет специалистов, обладающих необходимой квалификацией. Более того, эти выводы сделаны на факте похищения денежных средств с электронного счета предприятия, что справедливо отнесено к инцидентам в сфере информационной безопасности. Вероятно, это произошло потому, что функция информационной безопасности не изъята из подразделения автоматизации и не передана в службу безопасности, на предприятии не создана целостная система кибернетической защиты собственного виртуального пространства от вредоносного спама и возможных атак.

Более того, увлечение сотрудников предприятия (включая бухгалтеров) играми в Интернете и общением в социальных сетях, скорее всего, и привело к тому, что злоумышленники проникли в ПК, используемый в системе «банк — клиент», и взяли на себя управление программой, что позволило похитить денежные средства предприятия.

Из приведенного анализа следует, что руководству завода необходимо запланировать передачу функции информационной безопасности из подразделения автоматизации в подразделение безопасности, оформить это соответствующим организационно-штатным решением, а также привлечь на данный участок деятельности квалифицированных работников, обладающих необходимыми компетенциями. Именно этими специалистами будут подготовлены и внедрены предложения по обеспечению кибернетической безопасности предприятия.

Анализ в разделе финансовой безопасности также показывает, что, несмотря на высокую квалификацию сотрудников и эффективный бухгалтерский контроль, на предприятии есть серьезные проблемы. Они заключаются прежде всего в отсутствии выделенной функции внутреннего аудита. Несмотря на всю кажущуюся эффективность бухгалтерского контроля совершаемых операций, эта деятельность значительно уже полноценного внутреннего аудита. На эго указывают обозначенные в SWOT-анализе факты.

Так, банк обратил внимание предприятия на нецелевое использование кредита — это означает, что по решению топ-менеджера или менеджера направления полученный от банка кредит был использован нс на те цели, которые были предварительно проработаны и согласованы с банком, а на решение вновь возникшей проблемы (в лучшем случае) по собственному усмотрению. Это создает условия для возникновения репутационного риска. Банк может потребовать досрочного возврата ссуды и прекратит в последующем сотрудничество с предприятием. Об этом могут узнать и иные потенциальные кредиторы. В современном бизнесе репутация юридического лица, самовольно использующего кредиты, недорого стоит.

В этом же разделе анализа указано на то, что предприятием (или кемлибо из его представителей) совершены действия, направленные на временное размещение на счете сомнительных средств, имеется подозрение в действиях по отмыванию доходов, полученных преступным путем.

Подобные ситуации не редкость на рынке. Часто отдельные лица, связанные с хищением чужих средств (включая бюджетные инвестиции), принимают меры по совершению нескольких транзакций через счета различных юридических лиц в целях запутывания поисковых мероприятий. В подобных случаях незапланированные предприятием платежи появляются на его счете и достаточно быстро переводятся на счет другого юридического лица. Пособники операций по отмыванию получают за это определенный бонус, а само предприятие — вполне реальную угрозу реализации репутационного риска.

В данном случае транзакция была пресечена, скорее всего, в связи с тем, что работник бухгалтерии доложил о полученном предложении главному бухгалтеру, а тот запретил предоставлять счет предприятия для сомнительных сделок. В данном случае, так же как и в разделе информационной безопасности, следует руководствоваться еще одной аксиомой — если структурное подразделение внутри организации имеет монополию на осуществление определенного вида деятельности и монопольного контроля в этой же области, такая ситуация создает реальную угрозу злоупотреблений. При осуществлении организационных мероприятий всегда необходимо выявлять предпосылки к подобным ситуациям и принимать структурные меры по предотвращению возникновения «монополий». Иногда подобные меры реализуются путем создания дополнительных подразделений для разделения функций, часто такие подразделения подчиняют различным кураторам, а иногда в компании формируется процедурная база, не позволяющая одному из подразделений принимать самостоятельные решения, не согласованные с иными заинтересованными лицами.