Аудит безопасности организации: как влияет на конкурентноспособность, и зачем его проводить?

Агентство безопасности бизнеса / Все публикации компании

Антон Ларин, независимый эксперт по комплексным системам безопасности бизнеса и управлению персоналом, доктор юриспруденции, член НП «Эксперты рынка труда»

«Безопасность стоит дорого, но она того стоит». Истинность этого высказывания вряд ли нуждается в серьезном доказательстве для тех людей, кто выбрал эту стезю в качестве профессии. Ни одно государство не способно существовать без специальных структур, которые ежедневно, ежечасно напряженно работают для обеспечения его защиты от многочисленных внутренних и внешних угроз.

Любую организацию, занимающуюся частным бизнесом, хоть и с натяжкой, но можно сравнить с государством в миниатюре. В отличие даже от небольших государств бизнес не всегда имеет соответствующие структурные подразделения, но ни у кого не вызывает сомнений тот факт, что и он требует защиты. Тем более, что государство через федеральное законодательство не только предоставляет такую возможность, но и в некоторых случаях обязывает это делать (например, ФЗ № 152 от 27 июля 2006 г. «О персональных данных»).

Единого взгляда, как эффективно защищать частный бизнес от внутренних и внешних угроз, не существует. В зависимости от своего профессионального опыта, уровня и специфики подготовки специалисты, отвечающие в организации за безопасность, применяют те или иные технологии. В одном случае применяемые технологии дают результат, в другом - оказываются абсолютно неэффективными и даже вредоносными для организации. Понятно, что во избежание подобного эффекта, защитные меры должны учитывать все особенности и нюансы бизнеса.

Иными словами, прежде чем начинать строить некую систему безопасности бизнеса, нам необходимо получить ответы на многочисленные вопросы, большинство из которых не лежат на поверхности. Кто даст нам на них ответы? И не просто ответы, а ответы точные и исчерпывающие? По всей видимости, никто. Ведь ни топ-менеджеры, ни руководитель организации, ни собственник бизнеса не обладают достаточными компетенциями, профессиональными знаниями и навыками, чтобы собрать соответствующую информацию.

Как минимум, эта работа ляжет на плечи человека, отвечающего за безопасность организации. Максимум – будут привлечены сторонние специалисты. В любом случае потребуется провести некие исследования, аудит, и уже на базе полученных результатов создавать систему безопасности…

Стоп! Здесь необходимо сделать небольшую паузу и забежать немного вперед. Определимся с понятиями. Терминологический словарь дает следующее определение: «Аудит – процедура независимой оценки деятельности организации, системы, процесса, проекта или продукта».

Ключевое словосочетание – независимая оценка. То есть, оценка, на результаты которой не влияют какие-либо факторы ангажированности или подчиненности специалистов, проводящих эти исследования. Насколько защищенным, в этом смысле, может быть сотрудник организации? В особенности, если руководство склонно к принятию поспешных кадровых и административных решений? Риторический вопрос.

Говорить об аудите в истинном понимании этого понятия можно только применительно к внешним специалистам или организациям, предоставляющим подобные услуги. Понятие же «внутренний аудит» весьма двусмысленное, в особенности, если организация не имеет сети дочерних структур и представительств, для которых проверяющий из головной организации фактически является внешним аудитором.

ВЫЯВЛЕНИЕ УГРОЗ

Теперь вернемся к созданию системы безопасности организации. Какая бы терминология не употреблялась, по сути, нам требуется получить ответ на вопрос, что необходимо предпринять для эффективной защиты бизнеса от внутренних и внешних угроз. А для этого следует выяснить, какие угрозы уже есть в наличии, а какие могут возникнуть в ближайшее время или в перспективе.

Вне зависимости от того, есть в организации служба безопасности или какое-либо иное структурное подразделение, призванное обеспечивать ее безопасность, предпринимаются какие-либо действия по защите ее интересов или нет, в первую очередь, следует выяснить, какие охраняемые интересы характерны именно для этой организации.

Охраняемые интересы есть в любой организации, но не в любой организации существует четкое, ясное понимание исчерпывающего перечня своих охраняемых интересов. Одни из них касаются всех организаций, другие являются индивидуальными особенностями отдельно взятых, конкретных организаций.
Итак, охраняемыми интересами могут быть:

финансовые ресурсы – наличные и безналичные денежные активы, счета организации;
экономические интересы – с определенной долей допущения этим термином можно обозначить основные бизнес-процессы, с помощью которых организация добивается своей основной задачи в виде получения прибыли;
материальные ресурсы – основные средства производства, собственная или арендованная недвижимость, автотранспорт, офисная техника и оборудование и т. п. Словом все, что можно отнести к материальному обеспечению организации;
человеческие ресурсы – управленческий, производственный и хозяйственный персонал организации. Люди, занятые в основных и второстепенных бизнес-процессах;
информационные ресурсы и интересы – строго говоря, это не один, а два охраняемых интереса, тесно связанные друг с другом.

Под информационными ресурсами понимается совокупность сведений, в первую очередь, относящихся к категориям «коммерческая тайна» и «конфиденциальная информация», а также носители информации и средства внутренней и внешней информационной коммуникации.

Под информационными интересами подразумеваются имидж и деловая репутация организации, безопасность ее информационных ресурсов (включая регулируемые федеральным законодательством).
Помимо перечисленных выше, может быть целый ряд других охраняемых интересов. Например, экологические интересы, если деятельность организации связана с активным воздействием на экологию окружающей среды.

После определения исчерпывающего списка охраняемых интересов организации не так сложно выяснить, предпринимаются ли какие-либо меры по их защите или нет. Гораздо сложнее получить ответ на вопрос: насколько эффективны используемые меры и достаточны ли они.

Если в вопросах информационной безопасности мы можем опираться на требования текущего законодательства по защите данных и некоторые международные стандарты (такие как ISO 27001, ISO 27002 и т. д.), то по большинству других параметров общепризнанных стандартов пока нет. Без помощи профильных специалистов обойтись будет сложно. На этом этапе потребуется получить ответ на вопрос, какие инструменты и технологии выявления текущих и перспективных угроз используются в организации.

Принято различать три основных способа выявления угроз: прогностический, информационный и по факту реализации.

Прогностический способ – это выводы аналитиков, полученные на базе анализа текущей ситуации, бизнес-процессов, результатов решения ситуационных задач и т. п. Основным инструментом в данном случае является ситуационное моделирование. Это относительно недорогой способ, позволяющий получить объемный взгляд на текущую и перспективную ситуацию и заблаговременно предпринять действия по недопущению возникновения серьезных угроз. Однако слабой стороной этого способа является недостаточно высокий уровень вероятности, что не позволяет поставить его на первое место.
Информационный способ – получение информации от информационных источников среди персонала организации, систем видеонаблюдения и других технических и электронных систем мониторинга. Этот способ требует значительно бо"льших разовых и регулярных финансовых затрат, нежели прогностический. Зато вероятностная величина также выше.
Наконец, по факту реализации – самый точный способ и одновременно наименее эффективный с точки зрения обеспечения безопасности. Ведь речь идет лишь о фиксации факта реализации угрозы, но никак не об ее предотвращении. С другой стороны, технологии инструментального контроля, используемые при этом способе (например, камеры наружного наблюдения), могут быть успешно применены в комплексной технологии выявления угроз.

ПРОЦЕДУРА ПРОВЕРКИ

В случае, если в организации существует специальное структурное подразделение: служба безопасности, отдел экономической безопасности, отдел охраны и т. п., то оно также должно быть подвергнуто всесторонней диагностике.

В первую очередь, требуется проверка уровня теоретических знаний сотрудников подразделения в рамках их должностных обязанностей. Параллельно определяется соответствие самих должностных обязанностей сотрудников требованиям стратегических целей и тактических задач, стоящих как перед самим подразделением, так и перед всей системой безопасности организации в целом.

Самым простым, недорогим и достаточно объективным способом выяснения уровня теоретической подготовки сотрудников является решение ситуационных задач. Для повышения результативности подобных тестов их оценивают не только с точки зрения правильности ответов, но и в соответствии со временем, затраченным на решение задачи. Одно дело, когда сотрудник незамедлительно дает правильный ответ, и совсем другое, когда на это уходит значительное время. Следовательно, знания человека недостаточно крепки: ему приходится напрягаться и вспоминать, и, скорее всего, он не сможет эффективно применить их на практике.

Теория, конечно, важна, но не меньшее значение имеет и практика. Практические навыки проверяются с помощью ситуационных игр. Технология, которая дает точные, наглядные результаты, но требует материальных затрат и временного отрыва персонала от выполнения текущих должностных обязанностей.

Ни теоретические знания, ни практические навыки не дают гарантии того, что сотрудник будет эффективно работать. Можно быть высококлассным специалистом и «никудышным» работником, не имеющим какого-либо желания активно и продуктивно трудиться из-за отсутствия должного уровня внутренней мотивации. Точная оценка профессиональной мотивации сотрудника - дело непростое. Мотивация нематериальна. Ее нельзя увидеть, пощупать или оценить с помощью тестов. В арсенале специалистов по управлению персоналом есть технология оценки «360°». С ее помощью можно определить ряд объективных параметров, в том числе и уровень мотивации.

Не только результативность работы структурного подразделения, но и эффективность всей системы безопасности организации во многом зависит от взаимодействия между структурными подразделениями. В данном случае оценивается структура, качество и функциональность взаимодействия.

Специфика деятельности системы безопасности такова, что у нее практически полностью отсутствует такой показатель как прямой экономический доход. Зато может присутствовать прямой ущерб. Ущерб экономическим, материальным, репутационным или иным охраняемым интересам организации, причиненный сотрудником или целым структурным подразделением системы безопасности от ненадлежащего или халатного отношения к выполнению своих функциональных обязанностей.

Не меньшей проблемой для организации является косвенный ущерб охраняемым интересам, причиняемый деятельностью системы безопасности. Некорректное поведение охранника на входе в офис или в торговом зале, на первый взгляд, никак не связано с возможным ущербом организации. Но это не так. Подобное поведение формирует у покупателя или заказчика негативную мотивацию, которая совсем не способствует приобретению товаров или услуг.

Эффективность защищенности организации определяется также и косвенным экономическим доходом от деятельности системы безопасности. Например, от сокращения дебиторской задолженности, предотвращения бесперспективных расходов и невозвратных долгов.

В заключение определимся, кто должен проводить аудит защищенности организации. Вариантов всего два: либо своими силами, либо силами привлеченных специалистов. Оба варианта имеют право на существование, но и у того и другого есть ряд особенностей.

Аудит собственными силами обходится значительно дешевле. Однако собственные сотрудники:

как правило, не имеют столь высокую квалификацию как специалисты, предлагающие услуги по профильному аудиту;
обладают более высокой вероятностью проявления эффекта «замыливания глаза»;
зависимы от владельцев бизнеса и руководства. Иными словами, есть риск получения предвзятого, субъективного конечного результата.

Привлечение сторонних специалистов, с одной стороны, гарантирует более высокий уровень профессиональных знаний, с другой - требует от организации значительных финансовых затрат, одновременно повышая риск утечки конфиденциальной информации.

Таким образом, выбор способа проведения аудита безопасности – исключительное право организации, но обязательность его проведения является необходимым условием повышения ее конкурентоспособности и залогом дальнейшего успешного развития бизнеса.

Другие анонсы и релизы

В Москве пройдет гибридный образовательный форум, доступный всем желающим
27 августа 2021 года Министерство просвещения РФ при поддержке Правительства Московской области ...
2-4 апреля 2020 г. Конференция "Менеджмент будущего" в Высшей Школе Экономики СПбГУ
2-4 апреля 2020 года КОНФЕРЕНЦИЯ «МЕНЕДЖМЕНТ БУДУЩЕГО» Высшая школа менеджмента ...
Реклама на сети образовательных сайтов Edumarket.ru
Edumarket.ru – это один из ведущих маркетплейсов в России в области Дополнительного ...

Все анонсы и релизы

Быстрый поиск по теме Программы MBA Курсы бухгалтеров Курсы 1с Курсы иностранных языков Тренинги по продажам Курсы программирования Курсы управление персоналом Бесплатные курсы ещё	Поиск по городам Курсы в Москве Курсы в Санкт-Петербурге Курсы в Екатеринбурге Курсы в Новосибирске Курсы в Нижнем Новгороде Курсы в Самаре Курсы в Ростове-на-Дону Курсы в Казани ещё	Сервисы карьеристам Сервисы до и после регистрации Поиск курса, программы обучения Выбор выставки, конференции Конкурс грантов Деньги на обучение EduMoney Рейтинг компаний Публикации и новости Словари ещё	Организаторам мероприятий Правила размещения мероприятий Регистрация компании Реклама и сервисы на сайте Аудитория сайта Каталог компаний ещё