Безопасность бизнеса. Современные тенденции

Над вопросами безопасности бизнеса в России начали задумываться относительно недавно. И все же за это время ситуация на рынке и условия, воздействующие на сферу бизнеса, значительно изменились. В последние пять лет они проявляются наиболее сильно. Что ждет эту область в перспективе, рассуждает Сергей Мартынов, президент российского отделения Ассоциации специалистов по расследованию хищений.

Самое значимое изменение, на мой взгляд – это осознание того, что расследование хищений – это область, которая неразрывно связана со всеми другими областями внутреннего контроля в любой коммерческой организации. Хищения происходят в результате ослабления контрольной среды в компании, то есть снижения желания сотрудников исполнять контрольные требования. Здесь задействованы многие факторы, которые входят в сферу деятельности самых разных подразделений. Большинство специалистов в этой области сегодня единодушны во мнении, что упор нужно делать на профилактику, а не только на выявление и раскрытие уже свершившихся хищений и преступлений.

Я употребляю термин «хищение», потому что прямого аналога английскому термину fraud в русском языке нет, а термин «мошенничество», который обычно используется при переводе, в российской практике связывается со статьей 159 УК РФ, подразумевающей только преступление, основанное на обмане доверия. У нас же на практике, безусловно, существует более широкий спектр преступлений, которые выражаются в том, что у собственника бизнеса пропадают активы, а уголовные статьи могут быть самые разные. Существует еще термин «потери», но в этом случае затрагиваются и области, не связанные с безопасностью, такие как потери от неэффективной маркетинговой политики, например. Поэтому термин «хищения» в данном контексте наиболее уместен.

Три этапа развития систем безопасности бизнеса

Всю 20-летнюю историю существования бизнеса в России с точки зрения безопасности можно разбить на три этапа.

Первый этап – это откровенно бандитские взаимоотношения в 90-е годы, когда служба безопасности компании наполовину, если не больше, состояла из откровенных уголовников и все проблемы решались уголовными способами. Не стоит подробно останавливаться на этом.

Следующий этап, условно называемый «позвонковым», наступил примерно с двухтысячного года. Главная идея этого этапа – «давайте возьмём на работу генерала, он решит нам все проблемы». Опыт работы и связи этого ключевого лица играют решающую роль. Все возникающие проблемы решаются посредством звонка нужному человеку, отсюда и название. По сути, это чистой воды коррупция. Чемоданы и коробки с деньгами кочевали по кабинетам чиновников различного ранга. Жены чиновников работали в крупных корпорациях и таким образом образовывались коррупционные цепочки для решения проблем. В значительной мере эта ситуация сохраняется и сейчас, однако наметились некоторые тенденции, которые говорят о том, что сегодня мы подошли к какому-то другому этапу в развитии систем безопасности бизнеса. Многие компании с этим сталкиваются напрямую и задаются вопросом «что же делать дальше»?

Этот этап можно назвать «Intelligence». Под этим термином понимается способность абстрактного мышления, понимания, коммуникации, убеждений, обучения, планирования и применения интеллекта в решении проблем.

Проблема в том, что такой подход довольно затратен. Мы привыкли рассматривать безопасника как отставного милиционера, у которого одна извилина под фуражкой и которому не надо много платить. Человек рад самому факту того, что его взяли на работу и в меру своих сил решает проблемы. Нанимать людей, которые решают проблемы интеллектуальными методами, достаточно дорого. Тем не менее, мир диктует свои правила и свои законы. Раньше требовалось просто решить проблему, неважно какими методами. На следующем этапе ключевым фактором решения проблемы стала законность методов. Теперь же наступает этап, на котором нужно предотвращать возникновение проблем. А для этого нужен совсем другой кадровый состав контрольных подразделений и совершенно другой подход к работе. Поэтому и затраты будут совершенно другие.

Текущие проблемы бизнеса

В чем сегодня состоят основные потребности бизнеса? Что мешает нормальной работе? На одной из конференций, где я недавно выступал, участники – бизнесмены буквально кричали с трибуны о том, что размеры взяток в стране выросли настолько, что вообще стало невозможно работать. Возможно, эту тенденцию отмечает и читатель. Если раньше гаишнику платили триста рублей за возможность «решить проблему на месте», то сейчас меньше чем на пять тысяч он не согласен. Хорошо это или плохо? На мой взгляд, хорошо. Потому что если этот процесс будет продолжаться и размер взятки достигнет, скажем, тридцати тысяч рублей – то тогда будет проще не нарушать правила, чем платить такие взятки. Поэтому, на мой взгляд, это позитивная тенденция. Это как раз свидетельство того, что законность и цивилизованность в нашем обществе стала расти.

Еще одна «неприятность» для бизнеса – повышение контроля в области государственных заказов. Например, системные интеграторы довольно часто используются как «прачечные» по отмывке средств, выделяемых из госбюджета. То есть из суммы госзаказа большая часть денег идет в качестве откатов чиновникам. Однако сейчас такие вещи довольно жестко стали контролироваться органами и давать взятки стало просто опасно. Это, несомненно, тоже позитивная тенденция для бизнеса и для общества в целом.

И все же ситуация в Российском бизнесе меняется слишком медленно. В чем же причина?

Давайте посмотрим на экономику. С одной стороны, мы продаем свою продукцию на мировом рынке по мировым ценам. Мы не можем устанавливать на продукцию цены настолько высокие, насколько нам заблагорассудится.

С другой стороны, у нас непомерно раздутые расходы на производство этой продукции – огромный объем хищений (каждый ворует на своем месте все, что может), у нас огромная коррупция (мы должны платить чиновникам за лицензии, за то, чтобы не останавливали производство и т. п.), у нас низкая производительность труда, низкая культура управления, у нас высокие, часто, иждивенческие социальные ожидания персонала. В общих затратах на производство потери от хищений в среднем составляют в 31% (Исследование ACFE Russia, 2011).

С одной стороны, ограниченные рынком цены на продукцию – с другой – непомерно высокие затраты на производство. За счёт чего бизнес будет получать прибыль? За счёт каких источников покрывать потери?

Исторически сначала это были налоги. Проще всего было не платить налоги – и их не платили, изобретая различные схемы «оптимизации». Кончилось это все печально – для одних, а другие хорошо усвоили, что налоги платить нужно. Сейчас этот способ компенсации потерь от хищений уже не пользуется особой популярностью в крупном бизнесе.

Что же остаётся? На сегодня есть ещё несколько источников покрытия потерь от хищений. Это экология, природоохранные мероприятия, промышленная безопасность, злоупотребление монопольным положением – все, что относится к слабо контролируемым государством сферам. Все перечисленное называется одним ёмким понятием – «этика ведения бизнеса». Неэтично, например, загрязнять окружающую среду. Но если за это не наказывают, то… Вот только не станет ли природоохранная тема в ближайшие годы следующим крупным риском для бизнеса и поводом для национализации?

Есть и другие источники, это тема для отдельной статьи. Но важно что, если государство будет постепенно усиливать контроль в области вышеперечисленных «компенсационных» механизмов, то источники покрытия затрат на хищение и коррупцию начнут исчезать. Откуда тогда российский бизнес будет получать прибыль?

Здесь мы наблюдаем очень интересную тенденцию – чем более усиливается контроль государства, тем больше мотивации появляется у бизнеса бороться с хищениями. На мой взгляд, собственники бизнеса начинают понимать, что несоблюдение регулирующих правил в области экологии, промышленной безопасности и т. п. может в ближайшее время стать одним из основных рычагов перераспределения собственности и привести к потере бизнеса. И перед ними встаёт выбор – или рисковать потерей бизнеса, или начинать выстраивать комплексную систему безопасности бизнеса.

Очень важно, если есть понимание того, что система безопасности бизнеса должна охватывать все сферы деятельности компании.

Итак, что такое сегодня система безопасности бизнеса крупной компании? Давайте посмотрим на эту систему укрупнённо. В компании, как правило, существует множество контрольных подразделений: Служба безопасности, Внутренний аудит, Контрольно-ревизионное управление, Риск-менеджмент, Комплаенс, ИТ-безопасность и т. д. Названий может быть очень много, функционально они делают разные вещи, но каждое из них отвечает за своё направление безопасности бизнеса. Проблема в том, что все эти подразделения говорят на разных языках и плохо взаимодействуют между собой. Одни говорят о недостатках системы внутреннего контроля, другие говорят о рисках, кто-то говорит об уязвимостях, кто-то говорит об угрозах. Одни занимаются проверками, другие занимаются расследованиями, третьи проводят аудиты. Получается пестрая «чехарда» разных подразделений и их функций и отсутствие коммуникаций между ними.

Мой любимый тестовый вопрос, при встречах с руководством компаний на тему комплексной системы безопасности бизнеса: «Когда ваш начальник СБ в последний раз встречался с риск-менеджером?» Часто бывает, что начальник СБ даже не может вспомнить фамилию риск-менеджера. А ведь эти люди, и тот и другой, отвечают за систему безопасности. Они должны взаимодействовать, координировать свою работу ежедневно. А этого часто не происходит. Поэтому система безопасности бизнеса на практике получается похожей на лоскутное одеяло – что-то закрывает, где-то прорехи и самое главное – получается как в сказке про семь мудрецов и слона, когда каждый из мудрецов видит свою проблему и описывает ее по своему, но в целом проблему безопасности бизнеса, проблему координации между подразделениями никто не видит.

Одним из основных принципов контроля считается независимость контролёра – независимость от других подразделений, независимость от топ-менеджмента, прямая подчиненность собственнику или Генеральному директору. И все наши контрольные подразделения декларируют независимость, ссылаясь на соответствующие стандарты профессиональной деятельности. На практике часто это означает только то, что от них никто и ничто не зависит.

Как создать систему комплексной безопасности бизнеса? В формате журнальной статьи невозможно рассказать об этом в деталях. Прежде всего, необходимо определить функции системы – какие сферы деятельности компании она охватывает. В самых общих чертах, это система, обеспечивающая:

• Защиту от умышленных действий третьих лиц и персонала против интересов Компании.
• Защиту от потенциальных дефектов и недостатков системы внутреннего контроля.
• Защиту бизнеса от негативного влияния условий внешней среды (рынок, конкуренция, цены, качество, новые продукты, общество).

Подробно классифицировав наиболее общие и наиболее актуальные источники угроз, можно распределить их по сферам компетенции и ответственности различных контролирующих подразделений. Например, угрозами, исходящими от конкретных лиц и групп, занимается преимущественно Служба безопасности, в то время как угрозы, не имеющие идентифицируемого источника – чаще относятся к компетенции риск-менеджмента. Служба безопасности говорит о фактах, риск-менеджмент – об оценках. Внутренний аудит использует как фактические доказательства, так и даёт оценки рисков на основе суждений.

На основе внедрения мероприятий по организационному, коммуникационному и методическому регламентированию работы контрольных подразделений, в крупной компании может быть достигнут эффект не только качественного улучшений в системе безопасности бизнеса, но и существенно сокращены затраты на ее содержание.

Роль нематериальных активов

Другая тенденция в развитии систем безопасности бизнеса – перенос точки внимания с материальных активов на нематериальные. Если сравнить структуру активов компании несколько десятков лет назад и сейчас (рис.1), то становится очевидно, что основная стоимость активов переместилась в «нематериальную сферу».

На первом этапе, с развитием информатизации, все большее количество информации оказывается размещённым в информационных системах, начиная от центров обработки данных и заканчивая персональными смартфонами. Проблема информационной безопасности становится не только проблемой отдельных компаний, но и проблемой общества в целом. Вся информация о вас, читатель, сегодня находится в различных компьютерах, базах данных, «облаках», социальных сетях и т.д. и может быть добыта преступниками без особых усилий и затрат. Количество преступлений, основанных на краже (несанкционированном использовании) персональных данных увеличивается на десятки процентов каждый год, и в России их рост сдерживается только относительно слабой информатизацией общества.

Дополнительные риски в России создаются слабостью законодательного регулирования отношений в информационной сфере, что многократно увеличивает риски компаний. Не только несанкционированный доступ к информации, но и ее искажение, уничтожение, временное блокирование доступа фактически никак не наказывается.

Системы безопасности бизнеса компаний должны быть готовы уделять намного большее количество ресурсов проблемам информационной безопасности. К сожалению, сегодня в большинстве компаний это делается только на словах. Когда по заказу компании проводятся тесты на проникновение, результаты показывают катастрофическое состояние информационной безопасности.

Персонал

Специалистам по безопасности бизнеса сегодня стало очевидно, что персонал является как главным активом, так и главным источником угроз современного бизнеса. Никакие технические средства не защитят компанию от халатности, саботажа, хищений со стороны персонала. Персонал является специфическим активом, который не находит своего отражения в современном финансовом учете. Он не является собственностью организации и обладает свободой перемещения из организации без согласия собственника. Иногда он переходит к конкурентам, иногда действует под влиянием своих собственных убеждений или обид. В общем количестве ущерба, наносимого компании, ущерб в результате действий собственного персонала далеко перекрывает ущерб от всех остальных факторов, вместе взятых.

Тогда почему внутренний аудит в современной компании практически не работает с персоналом как с активом, состояние которого нужно оценивать прежде всего? Возможно, в этом заключается причина кризиса профессии внутреннего аудитора, о котором мы поговорим несколько позже.

Корпоративная культура

Стоит обратить внимание на такой актив компании, как корпоративная культура. В последние годы наступило понимание того, что у компании могут быть замечательные активы, лучшие кадры – и все же через несколько лет наступить крах бизнеса при всех сопутствующих благоприятных условиях. В чем же причина?

Исследования показывают, что существует еще некий нематериальный актив, который оказывает определяющее влияние. Это корпоративная культура. Существует много определений корпоративной культуры, мы приведем одно, наиболее точно отражающее ее суть:

Корпоративная культура – это ценности и убеждения, разделяемые большинством сотрудников Компании и определяющие их поведение в коллективе, отношение к работе, руководствуи к Компании.

Одной из современных тенденций в обеспечении безопасности бизнеса является обеспечение лояльности персонала через развитие корпоративной культуры. Для этого можно применить концепцию, которая разработана ACFE Russia и заключается в том, что формирование корпоративной культуры (отношения персонала к ценностям компании) происходит через удовлетворение двух основных социальных потребностей человека – потребности в социальной защите и потребности в общественном признании).

Концепция корпоративной культуры состоит в том, что Компания транслирует свои ценности сотрудникам через удовлетворение их базовых социальных потребностей в обмен на признание ими ценностей и целей Компании (рис.2).

Франц Ференбах, генеральный директор, председатель Совета директоров Robert Bosch: «Корпоративная культура, и особенно высокий уровень лояльности персонала – один из самых крупных наших активов. Наши конкуренты не могут с нами сравниться, ведь чтобы создать этот актив, нужны десятилетия» «Ведомости», среда, 11 марта 2009 года, статья «Это не скрепка, это мои деньги».

Поэтому с точки зрения обеспечения безопасности бизнеса становится актуальными такие процедуры, как оценка лояльности персонала, аудит корпоративной культуры и другие, ориентированные на контроль состояния наиболее ценных активов компании.

Кризис профессии внутреннего аудитора

Можно долго рассуждать о том, как именно должны функционировать механизмы внутреннего аудита в крупной компании. Об этом я расскажу в одной из следующих статей. Сегодня хочу лишь отметить, что внутренний аудит, как профессия, сейчас находится в состоянии, похожем на кризис. Престиж профессии внутреннего адитора крайне низок, и как говорят мои коллеги, нет такого аудитора, который не мечтал бы хотя бы на полгода стать начальником отдела закупок. С одной стороны, уровень оплаты, предлагаемый на рынке внутреннему аудитору, совершенно не соответствует набору требований, предъявляемых работодателем. В результате во внутреннем аудите работают много «специалистов», которые не смогли найти себе место в другой профессии. Ожидать каких-либо результатов от них крайне сложно. Реализован на практике советский принцип – «вы делаете вид, что платите, мы делаем вид, что работаем».

В красивых презентациях о роли внутреннего аудита много говорится о том, что внутренний аудит должен уйти от роли «полицейского» и должен стать «консультантом» менеджмента. Увы, эти теоретические построения на практике не смогли найти себе подтверждения.

Внутренний аудит не хочет быть «полицейским». Быть «корпоративным полицейским» значит проводить расследования, собирать доказательства, проводить опросы, готовить документы для привлечения к ответственности виновных лиц. Это невозможно для внутреннего аудитора хотя бы в силу того, что внутренние аудиторы не обладают необходимым юридическим и специальным образованием, не имеют опыта в проведении расследований, который нарабатывается годами службы в правоохранительных органах.

С другой стороны, для того, чтобы стать «консультантом», необходимо быть хотя бы немного большим профессионалом, чем те менеджеры, которых внутренний аудитор собрался консультировать. Быть большим специалистом, чем работающий на этом месте всю жизнь специалист? Да еще во всех процессах, которые проверяет внутренний аудит? Самое большее, что он может услышать – «отойди, мальчик, не мешай работать».

В результате внутренний аудит нашел себе область приложения усилий – тестирование контрольных процедур. Особенно в области финансовой отчетности, о чем нас учит великий и могучий SOX (закон Сарбейнса-Оксли). Многие департаменты внутреннего аудита затрачивают огромное количество ресурсов на тестирование контрольных процедур, во всех процессах. К сожалению, практической ценности в этом немного. Наличие должностной инструкции у грузчика цеха готовой продукции очень слабо влияет на уровень хищений продукции с этого самого склада. Наличие регламентов проведения тендерных процедур очень слабо влияет на результаты этих процедур, если менеджмент ставит своей целью привести своего подрядчика. По определению, хищение основано на умышленном обходе контрольных процедур и сопровождается сокрытием следов преступления.

Наличие идеальных контролей в любом процессе еще не означает:

• что этот процесс вообще создает добавленную стоимость для компании;
• что уровень хищений в процессе будет меньше.

Менеджмент видит «полезность» упражнений внутреннего аудита, и относится к нему как к некоему «декоративному элементу» в системе корпоративного управления. Ну хотят инвесторы – пусть будет. Только чтобы не слишком мешал бизнесу.

Заключение

Мы рассмотрели четыре основных тенденции в развитии современных систем безопасности бизнеса. Конечно, этих тенденций больше, и говорить о них нужно более подробно. Более того, необходимо осуждать пути решения обозначенных проблем, конкретные методики и проекты.

Я намеренно построил эту статью в несколько дискуссионном стиле. Надеюсь, что она станет началом обмена мнениями специалистов в области безопасности бизнеса на площадке этого уважаемого издания.