© «Директор по безопасности», №04-2026, Апрель, 2026 г.
Алексей Пименов, эксперт по безопасности, член Международной ассоциации корпоративной безопасности ICSA
Введение
Помните июньскую статью из прошлого года про целеполагание и KPI? Про то, как важно отличать цели от задач, как не дать HR-ам навязать безопасникам несвойственные им роли и почему SMART (он же СИДоРОВ) — это не просто модная аббревиатура, а вполне рабочий инструмент, если знать, куда его приложить? Тогда мы много говорили о теории, о системах сбалансированных показателей и о том, как сформулировать цель так, чтобы ее можно было измерить, а потом и достичь.
Допускаю, что коллеги, которые прочитали этот материал и даже попытались внедрить описанные подходы, довольно быстро столкнулись с закономерным вопросом: «Допустим, цели мы сформулировали, целевые значения определили, а что дальше? Как из этих красивых и правильных целей вырастает живая, работающая структура службы безопасности? Как понять, какие отделы нужны, а какие — лишняя бюрократия, и главное — как объяснить бизнесу, что безопасность это не просто статья расходов, а встроенный механизм защиты их же собственных интересов?»
Мы тогда остановились на том, что управление начинается с целей. Но Друкер, как основоположник всех «целевых» концепций, говорил: структура следует за стратегией. Как осуществить переход от стратегических целей компании к конкретным функциям службы безопасности? Возможно ли это? Да, и это не магия и не гадание на кофейной гуще. Это технология. И имя ей — метод препятствий.
В этот раз мы не будем углубляться в теорию управления. В этот раз мы будем собирать конструктор. Возьмем за основу метод препятствий и на его примере пройдем путь от бизнес-целей до конкретных подразделений, их задач и даже достижимых значений целей. Чтобы у вас в руках оказался не просто очередной умозрительный трактат, а понятный рабочий инструмент, который можно открыть в понедельник утром и начать применять.
Ну а к тем, кто все еще считает, что безопасность должна оцениваться по принципу «предотвратили, поймали, вернули», мы вернемся в конце. Спорить с ними — себя не уважать, лучше просто покажем расчеты.
Поехали.
Цель как отправная точка разработки структуры подразделения безопасности
В прошлой статье мы подробно разбирали, как формулировать цели для службы безопасности и почему без этого любой KPI превращается в профанацию. Если коротко: сначала определяем зоны риска (опасности для бизнеса), потом ставим цели, и только затем проектируем функции и структуру. Казалось бы, логика железная. Но практика показывает, что многие до сих пор начинают с обратного: копируют оргструктуру у конкурентов или набирают людей «под знакомые задачи».
Еще раз, чтобы не возвращаться: СБ не должна начинаться с создания подразделений. Сначала ответьте на самый главный вопрос: «ЗАЧЕМ?», т.е. чего именно мы хотим достичь? Защитить активы? Предотвратить кибератаки? Снизить потери от мошенничества? Управлять репутационными рисками? Или все сразу, но в разной пропорции? От ответа зависит решительно все.
Дальше возникает важный организационный выбор: создавать самостоятельную службу безопасности или распределить функции по разным подразделениям. У каждого пути свои последствия.
Если безопасность «размазана» по подразделениям, каждый проект или департамент начинает растить собственный «ОМВД» или того хуже «опорный пункт». Руководство тонет в разрозненных списках угроз, риски оцениваются формально, а реальные проблемы остаются за кадром. Управленцы перегружены несогласованной информацией, эффективность решений падает, а безопасность превращается в бюрократическую фикцию.
Если же мы создаем специализированную службу, все вопросы стягиваются в единый центр. Высшее руководство управляет безопасностью через одно подразделение, получая целостную картину и экономя время. Но это не значит, что централизация — панацея. Для небольших организаций или стартапов она может быть попросту не по карману. В таких случаях разумнее встраивать отдельные функции безопасности в существующие структуры. Главное — не потерять ответственность и не допустить, чтобы оценка рисков стала галочкой.
Ключевой шаг в эволюции СБ — переход от реактивного «тушения пожаров» к стратегически значимой функции. А это невозможно без системы планирования, оценки эффективности и управления результатами. Именно об этом была июньская статья: целеполагание и KPI как способ измерить результативность, а не занятость. Теперь мы идем дальше.
Здесь и сейчас мы будем рассматривать стратегические цели как основу для формирования конкретных функций безопасности. Естественно, эти цели должны быть декомпозированы от стратегических целей организации в целом. Финансовый результат бизнеса декомпозируется в цели СБ по минимизации убытков, защите активов, возврату дебиторской задолженности и так далее. Звучит логично, но как это сделать на практике, не скатываясь в абстракции? Для этого и нужен метод препятствий — к нему мы перейдем сразу после того, как определимся с угрозами.
Метод препятствий: инструмент перевода бизнес-целей в функции безопасности
Ключевой вопрос, который должен задать себе руководитель службы безопасности, звучит обманчиво просто: «Что может помешать бизнесу достичь его целей?» Ответ на этот вопрос дает перечень реальных препятствий (угроз), с которыми сталкивается компания. А уже из этого перечня логическим путем выводятся конкретные функции СБ. Этот подход называется методом препятствий. Он не требует сложных математических моделей или дорогих консультантов, но является одним из самых мощных управленческих инструментов для проектирования системы безопасности, которая действительно нужна бизнесу.
Формула метода предельно прозрачна и состоит из пяти последовательных шагов. Отправная точка — это цель бизнеса. Например, банк ставит задачу увеличить кредитный портфель на 20% при сохранении просрочки не более 2%. Далее мы выявляем препятствие: что именно мешает достижению этой цели? В нашем примере это мошенники, оформляющие кредиты по чужим паспортам. Следующий шаг — формулирование задачи нейтрализации: чтобы убрать препятствие, нужно выявлять и отклонять мошеннические заявки. Затем мы определяем, какая постоянная функция безопасности для этого требуется — в данном случае верификация личности и антифрод-проверка. И наконец, выбираем конкретные инструменты и процессы: систему проверки паспортов по базам МВД, биометрическую сверку, обучение персонала.
Главная сила этого метода проявляется в диалоге с руководством компании. Во-первых, он говорит с первыми лицами на их родном языке — языке бизнес-целей и рисков, а не на жаргоне охраны и режима. Во-вторых, каждая функция СБ получает четкое денежное обоснование. Руководитель безопасности приходит на бюджетный комитет не с просьбой «купить систему», а с аргументом: «Если мы не внедрим верификацию, потери от мошеннических кредитов составят 50 млн рублей в год, что съест маржинальность нашего портфеля». В-третьих, метод позволяет ставить измеримые целевые значения, напрямую привязанные к бизнес-показателям. Вместо абстрактного «усилить контроль» появляется конкретный целевой показатель: «снизить долю мошеннических кредитов в общем портфеле на 80%», что непосредственно влияет на итоговую просрочку.
Таким образом, метод препятствий превращает безопасность из центра затрат в управляемый и измеримый бизнес-процесс по защите целей компании. А теперь, вооружившись этим инструментом, вернемся к вопросу об угрозах.
Как уже ранее обсуждалось для формулирования целей СБ необходимо определить угрозы, с которыми может столкнуться организация. В различных отраслях угрозы различны, но в основные угрозы как правило носят общий характер. Это может быть как мошенничество и кражи, атаки на ИТ и утечки данных, различные махинации и коррупция, так и угрозы террористических актов, чрезвычайные ситуации, да и банальный доступ посторонних лиц как на сам объект, так и в режимные помещения.
После идентификации основных рисков формулируются конкретные цели, на которые должна быть направлена функция безопасности. Например:
● Снижение вероятности кибератак и минимизация их последствий;
● Предотвращение утечек информации и защита интеллектуальной собственности;
● Обеспечение физической безопасности;
● Предотвращение краж и хищений;
● Соблюдение требований регуляторов и управление репутационными рисками;
● Выявление и пресечение случаев внутреннего мошенничества;
● Предотвращение внешнего мошенничества;
● а также иные цели, направленные на минимизацию критических для бизнеса рисков.
Только после постановки таких целей можно переходить к формированию структуры, способной эти цели реализовать. В этом процессе важно избегать универсальных решений — структура должна быть адаптирована к специфике бизнеса, его масштабу, отрасли, уровню зрелости и приоритетам.
Организация служб безопасности и описание их структур различных отраслей на основании целей недостижимо в рамках одной статьи. Достаточно сказать, что описание различий в целях, задачах и подходах к организации и обеспечению безопасности например финансовых институтов, ритейла или девелопмента само по себе является темой достаточно развернутой статьи.
Для удобства будет рассмотрен пример создание СБ финансовой организации, как наиболее разноплановый субъект функции безопасности.
Для финансового сектора основными угрозами являются внешнее и внутреннее мошенничество, кибератаки, утечки персональных данных, хищение имущества, нарушение регламентов, проникновения нежелательных лиц на объекты организации, коррупция и иные репутационные риски.
Исходя из перечисленных угроз формулируются стратегические цели и задачи функции безопасности финансовой (упростим задачу — кредитной) организации. Эти цели логически вытекают из метода препятствий, описанного выше: каждая цель СБ — это ответ на конкретное препятствие для бизнеса.
К основным направлениям деятельности (целям высшего уровня) функции безопасности условной кредитной организации относятся:
- Противодействие мошенничеству при кредитовании (защита от фрода на этапе выдачи кредитов).
-
Противодействие транзакционному мошенничеству (защита текущих счетов и карт клиентов от хищений).
-
Обеспечение информационной безопасности, предотвращение утечек и защита персональных данных.
-
Защита персонала и обеспечение сохранности имущества (физическая безопасность).
-
Противодействие коррупции и внутреннему мошенничеству (экономическая безопасность).
-
Обучение и контроль действий персонала (человеческий фактор).
Так сложилось что, разделение внешнего мошенничества на кредитное и транзакционное не является строго обязательным для всех банков. В некоторых организациях эти функции объединены в одном подразделении, в других — разделены. Здесь мы разделяем их для большей ясности, так как методы борьбы и инструменты в этих сферах существенно различаются.
Разумеется, останавливаться на этих стратегических целях общего уровня нельзя. Они являются лишь отправной точкой для формулирования миссий и формирования целей конкретных подразделений. Далее мы рассмотрим, как на основе каждой из этих целей можно выстроить структуру отдела, определить его функции, инструменты и используя метод препятствий для детализации.
Противодействие кредитному мошенничеству (фрод на этапе выдачи)
Кредитное мошенничество — одна из наиболее болезненных угроз для розничного банка. Потери здесь возникают еще до того, как деньги покинут банк, но обнаруживаются лишь спустя месяцы, когда заемщик перестает платить. Поэтому создание подразделения, способного эффективно защищать банк от потерь при кредитовании, должно начинаться не с подбора сотрудников, а с четкого понимания того, каким бизнес-целям это подразделение служит и какие препятствия устраняет. Применяя метод препятствий, мы последовательно выводим функции будущего подразделения из стратегии банка.
Шаг первый. Определяем «что» и «почему»
Предположим, бизнес-цель сформулирована как увеличение кредитного портфеля на 20 % при сохранении уровня просрочки не выше 2 %. Это отправная точка.
Теперь проводим анализ рисков. Смотрим статистику отказов, данные мониторинга, обращения клиентов. Что конкретно мешает достичь цели? Прежде всего, мошенники, оформляющие кредиты по украденным или поддельным паспортам, а также заемщики, предоставляющие недостоверные сведения о доходе или занятости. Кроме того, существуют организованные группы, атакующие банк «фронтальными» заявками через ботов и дропов. На основе этого анализа составляем актуальный профиль угроз: какие схемы преобладают (паспорта умерших, поддельные справки 2‑НДФЛ, дропы), какие продукты наиболее уязвимы (кредиты наличными, онлайн-заявки), каков объем потенциальных потерь.
И только теперь формулируем цель будущего подразделения. Она должна быть измеримой и напрямую вытекать из бизнес-цели. Например: снизить долю мошеннических кредитов в портфеле на 80 %. Или: сократить потери от кредитного фрода на X миллионов рублей в год.
Результат первого шага: у нас на руках четкое обоснование — бизнес-цель, конкретные угрозы (препятствия) и цель подразделения с цифровым значением.
Шаг второй. Проектируем «как» — функции, структуру и инструменты
Теперь переводим цели в конкретные действия. Для каждой выявленной угрозы отвечаем на вопрос: «Что именно нужно делать, чтобы ее нейтрализовать?» Это и будут функции нашего подразделения.
Важно четко разделить, где заканчивается ответственность бизнес-процесса (фронт-офиса, кредитного отдела) и начинается функция безопасности. Задача службы безопасности — не подменять операционные подразделения, а выстраивать систему контроля, расследовать инциденты и противодействовать организованному мошенничеству. Я намеренно указываю здесь всего три угрозы, чтобы данная статья не стала примером для организации отдела противодействия мошенничеству. Принимать решения по действующим угрозам читателям (при необходимости) придется самостоятельно.
Угроза — мошенники с поддельными паспортами, пытающиеся оформить продукты.
Функция бизнеса (кредитный отдел): идентификация клиента, сверка паспортных данных с оригиналом документа, проверка по базе недействительных паспортов МВД.
Функция СБ: мониторинг и анализ случаев использования поддельных документов, выявление каналов их распространения, разработка дополнительных проверочных процедур для сложных случаев (обучение персонала, создание чек-листов), взаимодействие с правоохранительными органами при выявлении фактов мошенничества.
Угроза — недостоверные сведения о доходах (2-НДФЛ, справки по форме банка).
Функция бизнеса: первичная проверка наличия всех реквизитов, визуальный контроль, запрос в ПФР (СФР) при наличии согласия клиента через официальные каналы, использование данных скоринговых бюро.
Функция СБ: выявление схем массового использования поддельных справок (например, через «серых» работодателей), проверка подозрительных работодателей (признаки фирм-однодневок), разработка правил для автоматического отсева таких заявок, передача материалов в правоохранительные органы.
Угроза — массовые атаки через ботов и дропов (оформление заявок с использованием подставных лиц).
Функция бизнеса / IT: обеспечение сбора цифровых отпечатков устройств, базовых данных для антифрод-анализа.
Функция СБ: настройка и управление антифрод-системой, выявление аномальных паттернов (например, множественные заявки с одних IP или устройств), построение графов связей между заявками, блокировка «дроповодческих» цепочек, инициирование блокировки подозрительных устройств и номеров.
Три базовые функции для службы безопасности определены. Теперь под них проектируем организационную структуру — то есть распределяем роли. Обратите внимание: сотрудники фронт-офиса здесь не описываются, так как они находятся в другом блоке (бизнес-подразделение). Мы описываем именно штат службы безопасности.
Руководитель подразделения (например, начальник отдела фрод-мониторинга) координирует работу, взаимодействует с бизнес-блоками, инициирует изменения в процедурах, отвечает за отчетность перед правлением.
Аналитики фрод-мониторинга (не путать с верификаторами). Они работают не с каждой заявкой, а с инцидентами: анализируют подозрительные цепочки, выявляют новые схемы, формируют кейсы для передачи в правоохранительные органы, взаимодействуют с бюро кредитных историй для обмена данными о мошенниках.
Специалисты по антифрод-аналитике (или инженеры правил) настраивают бизнес-правила в антифрод-платформе, разрабатывают скоринговые карты совместно с IT и риск-менеджерами, визуализируют графы связей, оптимизируют процессы выявления аномалий.
Специалист по взаимодействию с правоохранительными органами (процессуальному сопровождению) готовит (курирует подготовку) материалы для передачи в МВД, сопровождает проверки, ведет претензионно-исковую работу по фактам мошенничества.
Важный момент: на этом этапе мы определяем не количество людей, а именно набор ролей. Численность придет позже, исходя из объема работы (количество инцидентов, число проверяемых эпизодов, нагрузка на одного специалиста).
Далее под каждую функцию подбираем инструментарий. Здесь важно использовать только легальные и доступные источники, избегая запрещенных методов сбора биометрии или несанкционированного доступа к данным.
Для выявления поддельных паспортов и документов: интеграция с базой недействительных паспортов МВД России (общедоступный сервис), использование справочно-информационных систем (напр., СПАРК, Контур-Фокус) для проверки контрагентов и работодателей, создание внутренней базы «подозрительных документов» по результатам расследований.
Для проверки доходов и занятости: официальные запросы в Социальный фонд России (СФР) при наличии согласия клиента, данные от квалифицированных бюро кредитных историй (в них есть информация о долговой нагрузке и некоторых параметрах доходов), верификация работодателя через официальные реестры (ЕГРЮЛ/ЕГРИП) и контактные данные, размещенные на официальных сайтах компаний (обзвон, если это предусмотрено процедурой бизнеса).
Для антифрод-анализа: специализированная антифрод-платформа (например, от компаний Cybertonica, Redis, или самописное решение), позволяющая собирать цифровые отпечатки, строить графы связей, применять статистические методы и машинное обучение. Важно: сбор данных должен соответствовать 152-ФЗ «О персональных данных» (согласие, целевое использование).
Результат второго шага: у нас есть четкое разграничение зон ответственности, проект подразделения безопасности — список функций, набор ролей (включая специалистов по мониторингу, антифрод-инженеров, юристов) и перечень разрешенных и эффективных инструментов для выполнения поставленных задач.
Шаг третий. Внедряем и оцениваем — регламенты, люди, KPI
Самый важный этап, который превращает бумажную структуру в живой механизм.
Разрабатываем регламенты. Прописываем процедуры эскалации: как и когда подозрительная заявка передается на углубленную проверку. Определяем порядок взаимодействия с колл-центром и службой безопасности. Создаем механизмы передачи материалов в полицию.
Обучаем сотрудников. Регулярно разбираем реальные инциденты, обновляем знания о новых схемах мошенничества, повышаем квалификацию в области финансовых расследований. Обучение здесь — не разовая акция, а постоянный процесс.
И наконец, утверждаем KPI. Возвращаемся к цели, которую поставили на первом шаге. Основной показатель — доля мошеннических кредитов в портфеле (или ее снижение). Добавляем операционные метрики: долю выявленных мошеннических заявок от общего числа проверенных, процент подтвержденного фрода (чтобы оценить качество работы), влияние на уровень просроченной задолженности.
Результат третьего шага: полностью функционирующее подразделение с понятными процессами, обученными людьми и прозрачной системой оценки его вклада в бизнес.
Только выстроенное таким образом подразделение становится не просто «фильтром» на входе, а полноценным инструментом защиты кредитного портфеля.
Важное отступление: отдел, управление или «направление»? Как не запутаться в статусах
После того как мы определили функции и набросали примерную структуру отдела кредитного мониторинга, у внимательного читателя может возникнуть закономерный вопрос: «А всегда ли нужен именно отдел? Может, это управление? Или достаточно просто группы людей? И почему в некоторых компаниях я вижу маленькие подразделения с громкими названиями и прямым подчинением первому лицу?»
Вопрос не праздный. От ответа на него зависит не только штатное расписание, но и эффективность работы, и даже карьера руководителя. Давайте коротко разберем организационную анатомию.
Три подхода к созданию подразделения
В современной практике (и в классической теории управления) есть три основных способа «упаковать» функцию безопасности в организационную структуру.
1. Классический подход: отдел или управление по Друкеру
Питер Друкер, которого мы уже упоминали, сформулировал простой принцип: структура следует за стратегией. Исходя из этого, решение о статусе подразделения принимается на основе трех критериев.
Первый критерий — функциональная разнородность. Если функции, собранные под одной крышей, требуют принципиально разных компетенций (например, антифрод и физическая охрана), это сигнал к тому, чтобы либо создать разные отделы, либо, при малой численности, оставить плоскую структуру с прямым управлением.
Второй критерий — критическая масса или норма управляемости. Классическая формула Вайдаса Грайкунаса (французский ученый литовского происхождения) говорит: при увеличении числа подчиненных количество связей между ними и руководителем растет экспоненциально. Практика показывает, что один руководитель может эффективно управлять 7–10 сотрудниками, если задачи сложные и требуют вовлеченности. Если людей становится больше, пора создавать промежуточные уровни (сектора, отделы) и повышать статус до управления.
Третий критерий — стратегическая значимость. Если функция, даже малочисленная, критически важна для бизнеса и требует прямого выхода на топ-менеджмент (классический пример — комплаенс и ПОД/ФТ в банке), она может быть выделена в отдельное управление или департамент. Это сигнал рынку и регулятору: «Это направление у нас в фокусе».
2. Модный тренд: «направления» и малые формы
В последние 5–7 лет, особенно в крупных компаниях вроде Сбербанка, стала популярной другая модель. Важные, но новые или экспериментальные функции стали оформлять как «направления» — небольшие юниты из 2–5 человек с прямым подчинением топ-менеджменту.
Чем это хорошо? Скорость — решения принимаются быстро, без бюрократических согласований. Фокус — первое лицо лично следит за приоритетной темой. Гибкость — такое «направление» легко создать и так же легко расформировать, если эксперимент не удался.
Но есть и оборотная сторона. Нагрузка на топ-менеджмент: если у первого лица в подчинении 20 таких «направлений», ни на что другое времени не останется. Риск «удельных княжеств»: маленькие структуры с прямым выходом наверх могут начать игнорировать горизонтальные связи, создавая разрывы в процессах. И карьерный тупик: сотрудникам таких «направлений» часто непонятно, куда расти дальше.
3. «Плоские» структуры
Это компромиссный вариант. Когда функций много, они разнородны, но людей пока мало, можно создать единое управление (например, Управление безопасности), где начальник управления напрямую руководит ведущими специалистами по разным направлениям, без создания промежуточных отделов. Это дает необходимый статус и сохраняет гибкость.
Как выбрать?
Универсального рецепта нет, но есть логика, которую мы будем применять ко всем дальнейшим примерам.
Если функция новая, экспериментальная или требует личного внимания первого лица — можно начать с «направления» в прямом подчинении.
Если функция зрелая, численность перевалила за 10–12 человек, и внутри есть разные специализации — пора создавать отдел, а затем и управление с внутренней структурой.
Если людей мало, но функции разнородны, и нужен статус для координации — создаем плоское управление.
Вернемся к нашему примеру с кредитным мошенничеством. Если у вас всего пять аналитиков и один руководитель — это отдел. Если их стало пятнадцать, и они делятся на группу верификации, группу проверки доходов и группу антифрод-аналитики — пора подумать о создании Управления по противодействию мошенничеству с двумя-тремя отделами внутри.
А теперь, вооружившись этой логикой, перейдем к остальным направлениям. Для каждого из них мы будем не только формулировать функции, но и кратко обозначать, в какой организационной форме их разумно реализовать.
Резюме: ваш план действий «Раз — Два — Три»
Раз. Анализируем бизнес-цель, выявляем риски и ставим конкретную, измеримую цель перед будущим подразделением.
Два. Проектируем функции (через метод препятствий), под функции создаем роли, под роли подбираем инструменты.
Три. Прописываем регламенты, обучаем людей и внедряем KPI для оценки реального вклада в бизнес.
Этот алгоритм превращает теорию из первой части статьи в жесткую, повторяемую технологию. Вы можете использовать его как чек-лист при создании любого подразделения безопасности — от маленькой группы до крупного управления.
Продолжение следует
Автор гарантирует, что обладает всеми необходимыми правами на предоставленные фото-, видео- и графические материалы, включая, но не ограничиваясь, авторским правом и правами на изображения третьих лиц, и несет полную ответственность за нарушение интеллектуальных прав правообладателей.
Редакция публикует указанные материалы на условиях информационного посредничества (ст. 1253.1 ГК РФ) и не осуществляет проверку правомочности их использования до момента получения соответствующего требования от правообладателя. Редакция обязуется принять меры по удалению материалов при получении мотивированного заявления.
