Мне задают этот вопрос не только в ТГ канале, но и в комментариях к статьям, видео и личных сообщениях. Давайте вместе попытаемся на него ответить, найти «золотую середину», которая сможет удовлетворить любого бизнесмена: и представителя малого бизнеса, и СЕО стартапа, и акционеров супер мега огромных корпораций.
Для начала скажу крамольную вещь: служба безопасности в компании не нужна! Да! Я не отказываюсь от этой мысли и готов понести ответственность за свои слова!
Только есть несколько «если»:
- Если в стране, где находится ваша компания или бизнес, правовые отношения и закон работают на 100%.
- Если в стране, где работает ваш бизнес, преступности нет. Сфера IT тоже считается.
- Если в мире побеждена коррупция.
- Если все бизнес-процессы в вашей компании выполняются.
Можете назвать мне такой, город, страну, планету? Нет? Я тоже…
Далее давайте разбираться, когда придет пора создавать службу безопасности у себя в компании. Начнём с малого бизнеса, постепенно превращая его в огромную корпорацию.
Представьте себе небольшую компанию, которая только что вышла на рынок.
Нам не нужно фантазировать, чем она занимается, услуги или производство, совершенно безразлично. Наш директор, он же учредитель/акционер, прекрасно знает, с кем работает, потому что набрал близких по духу людей, родственников, знакомых, друзей, которые не представляют никакой угрозы. Пока компания маленькая, глава прекрасно может проверить любой процесс. Платежи и поступления денег идут через него. Основные клиенты и поставщики — его знакомые. Если мутные схемы и существуют, то их придумал он сам. Товаров на складе немного, закупки он осуществляет сам, да даже коммерческую тайну хранит у себя в голове. Так что на этом этапе развития компании с уверенностью можно сказать, что все риски контролируемы. Безусловно, это не так. Контролируются только те риски, с которыми наш персонаж встречался, о которых знает, используются лишь собственные знания в области бизнеса, не более того.
Итого: следуя из всего вышеописанного, можно сделать вывод, что на этом этапе служба безопасности не нужна. Максимум, что можно сделать — пригласить консультанта, чтобы он профессиональным взглядом посмотрел на деятельность компании и дал устные рекомендации, где могут быть «дыры в безопасности». Освоить первичные навыки OSINT.
Разумеется, этого достаточно, если директор, он же собственник, не соберётся, например, в декретный отпуск, или не возникнет бурный рост бизнеса, но об этом мы поговорим далее.
Наша компания стала расти.
Основными маркерами роста являются не только оборот и прибыль, но и количество персонала, а также место на рынке. Если компания стала разрастаться с помощью новых партнеров, географии, увеличения команды, то риски, которые собственник/директор перекрывал самостоятельно, превращаются во вполне реализуемые проблемы, а также добавляются новые. Давайте подумаем о них поподробнее.
С появлением новых сотрудников и партнёров велик риск появления мошенников.
Все направления компании, которые он сам контролировал, теперь будут управляться «посторонними» людьми.
Собственник, он же директор, вынужден поменять статус с предпринимателя на управленца людьми и процессами. Риски, контролируемые ранее, становятся неуправляемыми. Если только собственник не станет делать всю работу за тех, кого он нанял, вот только тогда теряется смысл роста компании и становлении собственника как капиталиста.
Так что, уже пора создавать свою службу безопасности? Ответ на этот вопрос может дать только собственник! Он и только он должен принять решение. Тут тоже возникают множественные «если».
- Если собственник готов самостоятельно продолжать контролировать все направления бизнеса и увеличить свой рабочий день. Но в сутках всего 24 часа и повлиять на это он не сможет. Неизбежный стресс от информационной перегрузки даром не пройдет и сократит время жизни человека.
- Если собственник в полной мере изучил все случаи мошенничеств в сфере направления работы компании за последние три-пять лет и выстроил бизнес-процессы, исключающие мошенничество.
- Если собственник выстроил бизнес-процессы в компании, исключающие коррупционную составляющую при работе с партнерами.
- Если собственник полностью может контролировать логистику в своей компании.
- Если собственник полностью может контролировать перемещение финансовых потоков в компании.
Если на все «если» ответ последует ответ «да», то тогда служба безопасности не нужна! Друзья, если вам попадется такая компания, пожалуйста, сообщите мне об этом! Огромная просьба!
Понятно, что таких людей не бывает. Быть может на этом этапе полноценная служба безопасности, состоящая из департаментов, отделов и направлений в этой компании до сих пор не нужна? Давайте вместе подумаем, почему.
Всё, что мы перечислили, по сути своей, является операционной деятельностью компании. Конечно, кроме рисков быть обманутыми мошенниками и риска пропажи товара со склада компании. Всю операционную деятельность в компании, как правило, контролируют руководители направлений. Финдиректор — движение финансовых потоков. Главный технолог — производство. Руководитель отдела продаж — реализацию товара. Если они это могут делать со стопроцентной гарантией, то, как я писал ранее, СБ тут не нужно. НО! Мне такое ни разу не встречалось!
Безусловно, для учредителя/гендиректора на этом этапе уже необходимо создавать независимые контроли. Как они будут выглядеть на самом деле — это другой вопрос. Будет ли это аналитический сервис с элементами ИИ, или таблички Exel от руководителей направлений, или уже полноценный «начальник службы безопасности», не важно. Факт остается фактом. Контроль нужен.
Как выстроить систему контроля?
Если это контроль операционной деятельности, то контроль легко выстраивают руководители направлений, но и тут спрятано одно «НО». По условиям нашего повествования, компания находится в росте. Следовательно, руководители направлений будут стараться тратить свое мастерство и ресурсы на обеспечение роста. На то, чтобы вверенное им направление работало без сбоев и гармонично успевало за другими направлениями компании, чтобы не получилось «межфункциональных разрывов цепочек». Если функциональный руководитель обнаружит какие-либо риски, будет ли он тратить на них своё время? Будет ли «перекраивать» бизнес-процессы с прицелом на будущее, рискуя порой собственным положением, если «здесь и сейчас» произойдет какая-либо остановка процессов? Есть ли у него ресурсы на это? Ресурсы временные и материальные? Мой личный опыт в аудите функции безопасности различных компаний показывает, что руководители функциональных направлений, боясь проблем которые могут наступить сейчас, проблемы будущего пытаются спрятать. Если не нравится термин «спрятать», будем использовать термин «отложить»… до того момента, когда появится время для решения. Практика показывает, что это время так и не наступает, а отложенная проблема, выливается в ещё большие проблемы, нарастая по принципу горной лавины, которая сносит всё на своём пути.
Служба безопасности компании, если она работает по принципу «СБ для бизнеса», легко может оказывать помощь функциональным руководителям по контролю рисков. Она не даст их «спрятать и отложить». СБ специально для этого и создается. Но стоит отметить, что СБ должна быть бизнесоорентированной. Что это такое, в этой статье мы рассматривать не будем.
Выстроив систему контроля таким образом, директор/акционер получает независимый контролирующий орган. Одно из его преимуществ — проверка и анализ достоверности поступающей информации для принятия управленческих решений. Этот фактор очень важен.
Переходим к моменту, когда наша компания становится средним и крупным бизнесом.
Становится понятно, что те риски, которые мы контролировали в первых двух фазах развития, в крупном бизнесе многократно возрастут. Это и большее количество персонала, и территориальный разброс, и увеличение денежных потоков, и много чего еще. Соответственно, к непосредственным зарабатывающим функциям в компании неизбежно добавляются функции поддержки бизнеса. Это тоже персонал, бюджет, материальная ответственность, информационная безопасность, имиджевая безопасность (HRbrend), коммерческая тайна и так далее. Уследить за этим без специальной функции, на мой взгляд, будет крайне проблематично. В разных компаниях её называют по-разному, но суть остается одна —контроль рисков.
Вместо вывода хочу сказать…
Перед написанием этой статьи я обратился к нейросети, чтобы проверить насколько мы с ней мыслим в одном направлении. Я задал вопрос: «Когда приходит время создавать в компании службу безопасности?» Ответ был логичным и ожидаемым. Мне перечислили несколько совершенно понятных факторов: увеличение количества персонала, рост компании и так далее. Я же полагаю, что создавать службу безопасности необходимо тогда, когда акционер/собственник/генеральный директор поймет, что сам он не в силах контролировать растущий бизнес, что люди, назначенные им на развитие его компании и функциональных направлений бизнеса, подвержены недостаткам и тоже могут ошибаться, что создание службы безопасности компании может помогать росту и процветанию бизнеса. А вот как этого достичь, мы рассказываем на нашей площадке СБПроБизнес!
Автор: Владимир Кочанов, практикующий эксперт по безопасности бизнеса, член ассоциации корпоративной безопасности ICSA.
