Главный вопрос практической безопасности: как создать регламенты, которые не просто пылятся на полках, а реально защищают бизнес, не ущемляя его развитие.
Мой ответ будет состоять из трех частей:
- Стратегия: долгосрочные принципы, которые исключают конфликт между безопасностью и бизнесом.
- Тактика: конкретные методы проверки эффективности регламентов и их влияния на работу.
- Алгоритм: пошаговое руководство по созданию "живого" рабочего документа.
1. Стратегия: Безопасность как помощник, а не барьер
Типичная ошибка служб безопасности - видеть в бизнес-процессах помеху. Правильный подход диаметрально противоположен:
Регламент безопасности - это не ограничение, а условие для бесперебойной и эффективной работы бизнеса.
Четыре стратегических принципа:
|
Принцип |
Расшифровка |
|
Приоритет бизнес-цели |
Если регламент не позволяет клиенту получить услугу быстрее конкурента - он плох. |
|
Минимизация трений |
Каждый шаг регламента должен оправдывать свою задержку (в секундах или рублях). |
|
Автоматизм контроля |
Человек должен проверять только исключения. Всё рутинное - автоматикой. |
|
Обратная связь |
Регламент меняется каждые 3 - 6 месяцев по данным метрик, а не по желанию начальника. |
2. Тактика: Как убедиться, что регламент работает и не мешает
Ниже представлены методы проверки эффективности регламентов в реальных условиях. Каждый из них дает конкретные, измеримые результаты.
2.1. Метрика времени на соблюдение регламента (Time-to-compliance)
- Что измеряем: Среднее время, которое сотрудник тратит на выполнение требований регламента (например, проход через турникет, подписание документа, согласование платежа).
- Норматив: Не более 5% от общего времени, затрачиваемого на бизнес-операцию. Если показатель выше - регламент, скорее всего, избыточен.
2.2. Тестирование "тайным сотрудником" из бизнес-подразделений
Раз в месяц операционный директор или рядовой менеджер проходит через регламентные процедуры (например, пытается вынести ноутбук или заказать расходные материалы). Фиксируются:
- Количество ложноположительных срабатываний (сотрудник свой, но система его не пропустила).
- Время, затраченное на каждый этап процедуры.
2.3. A/B-тестирование регламентов
На двух идентичных объектах (например, складах или офисах) внедряются разные версии регламента. Сравниваются:
- Число инцидентов (кражи, утечки данных).
- Скорость прохождения процедур.
- Количество жалоб от сотрудников.
Пример: На одном складе действует полный досмотр сумок, на другом – система доверия с выборочным контролем.
2.4. Автоматический сбор данных о "сбоях системы"
Любая система безопасности (СКУД, DLP, видеонаблюдение) должна фиксировать не только нарушения, но и количество ложных срабатываний, а также блокировок, которые пришлось снимать вручную.
- Критерий: Если более 10% блокировок оказались ложными, это сигнал, что регламент слишком строг.
2.5. Опрос "болевых точек" бизнеса
Раз в квартал проводится анонимный опрос руководителей подразделений: "Что в регламентах безопасности вызывает наибольшее раздражение?". Топ-3 жалобы становятся приоритетом для разработки изменений.
3. Алгоритм создания эффективного рабочего документа (пошаговая инструкция)
Этот алгоритм поможет вам создать регламент, который будет работать, а не пылиться на полке.
Шаг 1. Анализ текущего состояния: Карта бизнес-процесса «AS IS»
«AS IS» (от англ. «as is» - «как есть») - это модель, описывающая реальное положение дел в ваших бизнес-процессах. Она показывает, как процессы функционируют на самом деле, а не так, как они описаны в документах или представляются руководству.
Цель AS IS: Глубоко понять реальную работу процессов, выявить слабые места, дублирование функций, неэффективные этапы, потери времени и ресурсов. Это станет основой для дальнейшей оптимизации.
Что делать: Визуализируйте, как операция выполняется сейчас, без нового регламента безопасности. Отметьте все «узкие места» - точки, где снижается скорость, или где сотрудники вынуждены «срезать углы».
Пример: При приеме товара на склад водитель ждет 20 минут, пока охранник сверяет накладные.
Шаг 2. Оценка рисков: Деньги и время
Для каждого потенциального нарушения (например, кража, подлог, утечка информации) рассчитайте:
- Потенциальный ущерб (в рублях).
- Вероятность возникновения без внедрения нового регламента.
- Стоимость контроля (время сотрудников, умноженное на их ставку).
Золотое правило: Регламент имеет смысл внедрять только в том случае, если стоимость контроля <(ожидаемый ущерб × вероятность).
Шаг 3. Проектирование «от результата», а не от процедуры
Сосредоточьтесь на цели, а не на жестких инструкциях.
- Вместо: «Охранник должен заглянуть в каждую сумку и пересчитать ключи».
- Пишите: «Цель: Исключить вынос неучтенных материальных ценностей. Способ достижения: На усмотрение исполнителя, при условии, что время на выход сотрудника не превышает 10 секунд».
Такой подход дает сотруднику службы безопасности свободу предлагать инновационные технические решения (например, турникет с весами, RFID-метки), вместо того чтобы создавать неудобства для людей.
Шаг 4. Согласование с бизнесом до утверждения
Сформируйте временную рабочую группу: 2 представителя от службы безопасности и 2 от операционного блока (например, логист, менеджер по продажам, кассир). Их задача - «пропустить» регламент через себя, вычеркнуть все пункты, которые создают помехи, но не снижают риски. Без их одобрения документ не будет иметь реальной силы.
Шаг 5. Пилотное внедрение на одном участке (2 недели)
Внедрите регламент только в одном отделе или в одну смену. Соберите метрики, упомянутые в Шаге 2 (время выполнения, количество ложных срабатываний, жалобы).
Критерий успеха пилота: Не более 5% замедления бизнес-процесса и отсутствие критических инцидентов.
Шаг 6. Корректировка и «порог автоматического исключения»
В регламенте должен быть предусмотрен пункт:
«Если любой сотрудник бизнес-подразделения трижды за месяц зафиксирует, что выполнение пункта X занимает более 2 минут и при этом не предотвратило ни одного инцидента, данный пункт автоматически отправляется на пересмотр без дополнительного обсуждения».
Шаг 7. Автоматизация контроля вместо человеческого фактора
Люди должны реагировать только на аномалии. Все рутинные операции контроля следует автоматизировать с помощью датчиков, камер с искусственным интеллектом и систем логирования.
Пример: Вместо регламента «заполни журнал выдачи ключей» - электронный замок, который автоматически ведет лог.
Сквозной пример: регламент досмотра личных вещей на входе
|
Что было плохо |
Что стало после алгоритма |
|
Охранник смотрит каждую сумку 30 секунд → очередь 5 минут |
Рентген-сканер с ИИ: выделяет только подозрительные предметы (ножи, флешки) за 3 секунды |
|
Сотрудники терпят боль молча |
Анонимный опрос: «Что бесит?» → ответ «проверка зонтов» → зонты вывели из перечня |
|
Регламент не менялся годами |
Метрика: если за месяц 0 находок оружия — доверительный режим на входе (выборочно 5%) |
|
Конфликт с бизнесом: курьеры опаздывали |
Внесли исключение для курьеров: они проходят по быстрому коридору с RFID-бейджем |
Результат: время входа упало с 45 секунд до 7 секунд, кражи не выросли, жалоб нет.
Алгоритм достижения успеха:
- Опора на данные: Принимайте решения на основе измеримых показателей, а не предположений.
- Автоматизация контроля: Внедряйте автоматизированные системы для мониторинга и управления процессами.
- Право вето для бизнеса: Предоставьте бизнес-подразделениям возможность отклонять процедуры, не демонстрирующие очевидной ценности.
Делитесь с коллегами!
———
Мы делаем сложное понятным!
ИД Советник, ж-л Директор по безопасности, ж-л Безопасность компании
Подписывайтесь на наши ресурсы:
-
ТГ-канал Клуб "Директор по безопасности"
