Система внутренних регламентирующих документов для организации безопасности – это реально

Технологии безопасности

Михайленко Валерий – начальник экспертного

отдела Безопасности Бизнеса»

Система внутренних регламентирующих документов для организации безопасности – это реально?!!

Тема: «Организация службы безопасности»

Опыт аудитов систем безопасности предприятий, который проводился специалистами Безопасности Бизнеса», позволяет сделать неутешительный вывод о том, что необходимость оптимизации управления безопасностью и регламентация деятельности сотрудников служб безопасности не нашли должного понимания у соответствующих руководителей и не стали основой их практической деятельности.

Такое положение неизбежно приводит к конфликту и отсутствию взаимопонимания, как с руководителями предприятия, так и с руководителями структурных подразделений. Как следствие этого – безуспешные попытки руководителей служб безопасности найти ответ на достаточно тривиальный вопрос: «Как убедить руководство в необходимости проведения и финансирования тех или иных мероприятий и видов деятельности в интересах обеспечения безопасности? Как избежать необоснованного сокращения финансирования и сокращения штата служб безопасности в условиях возрастания рисков безопасности?».

Поднятая проблема является комплексной и емкой, чтобы рассмотреть все ее аспекты в рамках одной статьи. Поэтому остановимся только на одном из направлений ее разрешения – регламентация деятельности службы безопасности.

Организация управления безопасностью – в чем проблема?

На первый взгляд никаких проблем нет, так как основная масса сотрудников служб безопасности (СБ) – это выходцы из силовых ведомств, для которых служить – это привычно и не вызывает каких-либо отрицательных эмоций. Поэтому вопрос экспертов: «Как у Вас организовано управление подразделениями безопасности и сотрудниками?». Вызывает, мягко говоря, недоумение – какие в этом могут быть проблемы? Постановка задачи, отчет исполнителя и далее как обычно: «награждение непричастных и наказание невиновных». Планирование работы и отчет о выполнении планов – это также из области давно пройденного. Если в фирме принято планировать и отчитываться, то и СБ привычно планирует и отчитывается, если нет или начальнику СБ удалось убедить руководство в особой специфике деятельности подразделения и нецелесообразности подводить его под общие для других служб и отделов требования, то никаких планов, как правило не создается. Все делается по ситуации. А отчет – привычная «галочная» (бальная и т. п.) система учета достижений.

НЕ нашли? Не то? Что вы ищете?

Общие тенденции следующие:

В малых и средних предприятиях, где службы безопасности по численности невелики (от одного до четырех – пяти сотрудников). Один начальник остальные сотрудники СБ и очень часто нет даже конкретного распределения обязанностей и ответственности. Все занимаются всем. Каждая новая задача поручается менее загруженному или свободному в настоящий момент от выполнения очередного срочного поручения сотруднику. Какие-либо нормативные, планирующие и распорядительные документы отсутствуют. В средних и крупных предприятиях, где действуют службы безопасности со штатом от десяти человек, организацией внутри службы безопасности отделов, секторов, групп по направлениям деятельности обычно имеются положения о подразделениях и должностные обязанности сотрудников. В крупных предприятиях службы безопасности всегда имеют внутренние регламентирующие документы, планируют свою деятельность и отчитываются о проделанной работе. Обычно правила такой регламентации являются типовыми для всех структурных подразделений компании. Главными недостатками в регламентации деятельности сотрудников и подразделений таких компаний являются: неконкретность действующих нормативных и регламентирующих документов, общий иногда даже абстрактный составы решаемых задач и отсутствие ответственности за конкретные участи или сферы деятельности. Отсутствие регламентов взаимодействия подразделений и зоны ответственности. Документы как бы специально разрабатываются таким образом, чтобы трудно было установить виновных. Чувствуется рука мастера «по уходу из под удара, в случае чего!!!». Пользы от таких регламентирующих документов никакой и мало кто ими руководствуется в повседневной деятельности.

Девять из десяти служб безопасности работают по одному из представленных выше сценариев. Поэтому естественно, когда возникает проблема под названием снижения затрат, все головы и иногда даже «персты» направляются в сторону СБ и ничего личного, только в интересах дела, требуют сокращения затрат на их содержание. И трудно отказать в правомерности их предложений. Нет конкретики в работе СБ, нет политики безопасности, нет анализа и регламентированных процедур обеспечения безопасности бизнеса. Все остальные участники худо, бедно, как-то взаимодействуют, совместно производят и продают товары и услуги, а СБ – не известно чем занимается? И какая от нее польза, кроме того, что стоит на страже!!!

Выход из такого положения прост! Необходимо принять решения по системе управления безопасностью. Возможных вариантов всего два: ситуационный или регулярный менеджмент. И внедрить систему внутренних регламентирующих документов, описывающую выполнение основных бизнес процессов обеспечения безопасности, т. е. тех, на которые затрачивается не менее 80% всех выделяемых ресурсов СБ. К основным бизнес процедурам следует отнести не более 20% реально выполняемых в настоящий момент функций СБ, из всего списка функций внесенных в нормативные документы. Остальные выполняются на основании распорядительных документов.

По выбору системы управления рекомендации следующие. Для небольших служб безопасности – ситуационное управление. При небольшом количестве сотрудников начальник СБ в состоянии держать в голове положение дел по всем основным направлениям обеспечения безопасности предприятия и либо оперативно самому управлять ситуацией через своих подчиненных, либо сотрудникам делегировать необходимые полномочия и спрашивать за результат. Применять систему регулярного менеджмента в службах безопасности с численностью сотрудников до 15 человек, которые управляют примерно таким же количеством бизнес процессов обеспечения безопасности, безусловно, очень дорогое удовольствие и, самое главное, ничем не обоснованное.

Для больших служб безопасности, в штате которых имеется несколько десятков сотрудников, которые штатно объединены в отделы, департаменты и т. п., более приемлем метод регулярного менеджмента. А также соответствующая этому методу управления система внутренних регламентирующих документов. И обусловлена такая рекомендация не только численностью самой СБ, но и сложностью и количеством бизнес процессов и бизнес структур, с которыми им приходится взаимодействовать и которые необходимо контролировать.

Система внутренних регламентирующих документов – это хорошо забытое старое?

Ответ следующий: «И да, и нет!!!».

Да потому, что все мы, служившие в различных силовых ведомствах, руководствовались федеральными законами, ведомственными наставлениями, приказами и директивами, разрабатывали внутренние распорядительные, планирующие и технологические руководящие документы.

Нет, потому, что федеральная нормативная база для служб безопасности – это законодательные акты от Конституции и до различных кодексов, которые используется в части касающейся и Федеральный закон РФ «О частной детективной и деятельности охранной в Российской Федерации». Причем ФЗ «О ЧДОД» - это документ в большей степени, регламентирующий деятельность частного охранника или частного детектива, в части его прав, обязанностей, полномочий и ответственности. Громадное многообразие задач, которые приходится решать службам безопасности в повседневной деятельности, никак и нигде не определены. Их необходимо регламентировать, чтобы на предприятии было однозначное понимание бизнес процессов по обеспечению безопасности. Чтобы участники этой деятельности знали правила игры и не занимались «перетягиванием каната». С чего начать этот не простой процесс, который называется разработка системы внутренних регламентирующих документов? Предложение по ее структуре и примерному наполнению мы рассмотрим в последней части статьи. Данный раздел посвятим формулировке требований к разрабатываемым документам.

Система внутренних регламентирующих документов будет включать не зависимо от вида системы управления следующие подсистемы:

Нормативные документы:

1.1. Нормативные документы, описывающие организацию системы управления или формализующие оргштатную структуру.

1.2. Нормативные документы, описывающие и формализующие бизнес-процессы безопасности.

Распорядительные документы. Система документов четко согласованная с иерархией их издания. Документы предназначены для закрепления сроков, порядка и исполнителей для выполнения конкретных планов или отдельных мероприятий. Это, как правило, приказы, распоряжения и указания:

2.1. Приказы издаются только руководителем предприятия (генеральным директором).

2.2. Право издавать распоряжения может быть делегировано менеджерам высшего звена управления в ранге заместителей генерального директора, руководителей департаментов прямого подчинения и им равных по направлениям, которыми они руководят. Распоряжения рекомендуется издавать в письменном виде в том случае, если оно касается более, чем одного подразделения, и учитывать их централизовано.

2.3. Указания отдаются руководителями среднего и высшего звена управления, устно с записью их в журнал указаний конкретного подразделения.

2.4. Цель издания распоряжений и указаний – повышение оперативности управления, особенно в случаях, когда действующие регламенты, инструкции или методики вступили в противоречие со сложившимися условиями реализации бизнес процессов. В последствии, не реже одного раза в месяц, все отданные распоряжения и указания анализируются, и по ним принимается одно из решений: внести изменения в действующие регламентирующие документы по данному вопросу или отменить в силу потери актуальности или минования надобности.

Планирующие и отчетные документы:

3.1. Планы – документы, разрабатываемые в интересах перспективного или текущего планирования мероприятий по конкретным бизнес процессам. Они могут быть комплексными или целевыми.

3.2. Отчетные документы – системы докладов, отчетов, справок, анализов, предложений по различным аспектам деятельности системы безопасности предприятия. Главная цель этих документов – объективный контроль выполнения бизнес процессов и информационная поддержка аналитической работы по всем направлениям деятельности системы безопасности.

Все виды документов, представленных выше, исполняются на бумажном носителе и в электронном виде при наличии электронного документооборота. Соответственно для каждого документа разрабатывается шаблон его исполнения и порядок прохождения по всей иерархии управления, а также порядок учета, доведения и архивного хранения. Данное замечание отражает тот факт, что издание любого документа на предприятии – это тоже бизнес процесс, так как он многократно повторяем, имеет один вход и один, два и более выходов.

Службам безопасности независимо от выбранной системы управления легче в том плане, что они при разработке системы внутренних регламентирующих документов по безопасности основываются на требованиях к документообороту, действующих на предприятии. Не надо изобретать велосипед.

Кому-то из читателей может показаться, что предложенная структура очень сложна и громоздка. Это далеко не так. В зависимости от размеров компании, структура документов будет упрощаться. Например, за счет того, что какие – то из них просто не потребуются.

Для служб безопасности сложность будет возникать всегда, когда придется анализировать бизнес процессы на предмет оценки их риска безопасности. Чтобы «не утонуть» в анализе бизнес процессов и процедур, из которых они состоят, опять же рекомендуется воспользоваться известным принципом Парето. Суть, которого состоит в выборе 20% бизнес-процессов, дающих 80% дохода. Потому что именно в них сконцентрированы основные ресурсы предприятия, нуждающиеся в защите. Правильность такого подхода подтверждает и метод Диверсанта, который используется для выявления «мест и процессов» наиболее уязвимых для хищения и внутрикорпоративного мошенничества. Нужно найти такие точки на предприятии, где сходятся по месту, времени и доступности наибольшее количество товароматериальных ценностей, ресурсов и персонала, имеющего ко всему этому богатству непосредственное отношение.

С чего начать?

Начать нужно с осознания необходимости разработки системы внутренних регламентирующих документов. Не стоит этого делать, следуя моде или желанию пройти сертификацию по ИСО без реального мотива иметь предлагаемую систему документов. Кратко суть ИСО состоит в следующем:

«Сертификация (регистрация) систем качества организаций - это средство. предоставляющее уверенность в том, что сертифицированная (зарегистрированная) организация способна поставлять продукцию, соответствующую определенным требованиям. Фактически, сертификация означает, что система управления организации прошла проверку на соответствие требованиям конкретного стандарта.

При сертификации системы контроля качества учитывается только оценка системы управления организации; сертификация продукции не проводится. Доказательство соответствия определенному стандарту систем контроля качества оформляется в виде документа, известного как сертификат системы качества».

Эксперты ТББ считают, что мотив у собственника, руководителя предприятия, а также руководителя СБ может быть один – это единое понимание того, какая система безопасности нужна предприятию, как она должна быть организована, как управляться и контролироваться. Внедрение системы внутренних регламентирующих документов по безопасности позволит уйти от субъективизма в подходе к организации безопасности и бесконтрольности в деятельности СБ.

После принятия принципиального решения о разработке и внедрении системы внутренних регламентирующих документов (СВРД) следует определиться, кто эту работу будет выполнять. Здесь также выбор не велик! Возможны, как в русских народных сказках три пути или три варианта действий:

1. Всю работу по разработке и внедрению СВРД поручить собственной службе безопасности и юридической службе.

2. Привлечь к разработке СВРД внешнюю организацию – консалтинговую компанию, занимающуюся разработками организационно-технических и организационных проектов, концепций по созданию систем безопасности предприятий.

3. Совместно СБ предприятия и специалисты консалтинговой фирмы разрабатывают СВРД.

Совершенно очевидно, что наиболее оптимальным вариантом действий будет привлечение к разработке СВРД консалтинговой компании, которая будет выполнять эту работу в тесном взаимодействии со специалистами Заказчика. Уровень и порядок взаимодействия согласовывается в процессе подготовки и подписания соответствующего договора, с приложением к нему плана графика проведения работ.

Для понимания объема работ, который придется выполнить, приведу в качестве примера рекомендуемый список документов по разделу – «Нормативные документы по организации системы безопасности»:

1. Основным базовым документом системы экономической безопасности должен быть «Стандарт предприятия по организации системы экономической безопасности».

2. Следующий уровень регламентирующих документов – положения, которые должны быть двух типов: первый тип – положения о Дирекции по безопасности (службе безопасности), положения структурных подразделений по безопасности, разделы в положениях профильных подразделениях, определяющие их задачи, ответственность и функции по обеспечению безопасности, и второй тип – положения по направлениям обеспечения экономической безопасности.

3. «Положение о Дирекции по безопасности». «Функциональные обязанности сотрудников Дирекции по безопасности».

4. «Положения по направлениям обеспечения экономической безопасности» разрабатываются для всей системы экономической безопасности предприятия в соответствии с «Политикой безопасности»:

4.1. «Положение о Совете по экономической безопасности».

4.2. «Положение о системе экономической безопасности»

4.3. «Положение о системе предотвращения хищений и противодействия внутрикорпоративному мошенничеству».

4.4. «Положение об обеспечении безопасности договорной работы».

4.5. «Положение о контрольно-ревизионной деятельности и проведении расследований финансово-хозяйственной деятельности».

4.6. «Положение о системе кадровой безопасности».

4.7. «Положение о проведении внутренних служебных расследований».

4.8. «Положение об информационной безопасности».

4.9. «Положение о технической защите информации».

4.10. «Положение о системе управления информационной безопасностью»

4.11. «Положение об организации внутриобъектового режима».

4.12. «Положение о системе охраны».

4.13. «Положение о системе информационно-аналитического обеспечения безопасности».

4.14. И т. п.

5. Следующий уровень документов по каждому направлению обеспечения экономической безопасности регламенты, содержащие свод конкретных правил проведения работ и мероприятий.

6. Последний уровень регламентирующих документов: инструкции и методические указания по технологии выполнения отдельных процедур.

Как следует из предложенного списка – объем работы для группы специалистов, численностью 3-4 человека, имеющих опыт подобной работы, не считая технических работников, - примерно на полгода. В конечном итоге срок будет определяться характеристиками деятельности самой компании Заказчика, ее системой безопасности, наличием подготовленных специалистов СБ и ряда других факторов.

В организационном плане порядок действий может быть проиллюстрирован алгоритмом, представленным на рис. 1.

В качестве выводов следует отметить, что система внутренних регламентирующих документов должна разрабатываться последовательно в строгом соответствии с планом мероприятий. Состав СВРД, структура документов и их содержание ни в коем случае не должны быть избыточными. Все должно соответствовать текущему состоянию, а не «розовым» мечтам. Должны быть сформулированы и описаны действующие цели, задачи, процедуры и мероприятия, а не те, которые возможно когда-то будут выполняться. Только при этих условиях разработанные документы будут приняты и обеспечат заложенную в них эффективность системы безопасности.