Управление экономической безопасностью организации

При неудовлетворительном состоянии система экономической безопасности не соответствует основным требованиям и подлежит реинжинирингу. При удовлетворительном состоянии системы можно оценить ее эффективность.

Оценка эффективности системы экономической безопасности проводится в начале проектирования, при поредении функциональных требований и при изменяющихся условиях. Для оценки эффективности требуется четкое понимание, на защиту каких угроз нацелена система экономической безопасности. Оценить эффективность, не имея модели нарушителя и списка угроз, невозможно. Именно поэтому, на всех этапах жизненного цикла системы экономической безопасности, требуется модель угроз.

Угрозы, которым противостоит система экономической безопасности связаны не только с безопасностью. К таким угрозам относятся любые явления и воздействия на организацию, последствия от которых могут повлиять на ведение основного бизнеса. Угрозы наносят ущерб, который может быть значительным настолько, что организация перестанет существовать. Появление угроз всегда потенциально возможно, то есть невозможно создать систему экономической безопасности, которая бы ликвидировала все угрозы. Профилактика угроз позволяет минимизировать или свести на нет воздействия угроз. Для создания модели угроз требуется выявить источники угроз. Не следует путать источники угроз с уязвимостями системы экономической безопасности. Источники генерируют угрозы, нацеленные на уязвимости, поэтому, по мнению автора, не следует относить к источникам угроз недостатки технических средств защиты. Постоянный мониторинг угроз позволяет принимать превентивные меры, что значительно повышает эффективность системы экономической безопасности.

Общими подсистемами системы экономической организации могут быть:

• подсистема нормативно-правового обеспечения;

• подсистема противопожарной безопасности;

• подсистема контроля управления доступом, включающая видеонаблюдение;

• подсистема информационной безопасности;

• подсистема кадровой безопасности;

• подсистема защиты интеллектуальной собственности;

• подсистема обеспечения непрерывности бизнеса;

• подсистема деловой разведки и др.

Подсистема нормативно-правового обеспечения нацелена на обеспечение законности мероприятий экономической безопасности. Как и в любой другой системе нормативно-правовые отношения должны строиться с учетом международного и Российского законодательства, требований другого подзаконного правового регулирования и стандартов.

Подсистема пожарной безопасности является обязательной для всех комплексов инженерных сооружений. В её функции входит не только своевременное обнаружение источников возгорания, но и своевременное оповещение всех сотрудников о немедленной эвакуации.

В состав подсистемы пожарной безопасности может входить:

• пожарная сигнализация;

• автоматическое оповещение о пожаре;

• управление эвакуацией сотрудников при пожаре;

• механизмы водяного, газового или порошкового пожаротушения.

Цитата о том, что «пожар легче предупредить, чем потушить» лежит в основе подсистемы пожарной безопасности. Современные подсистемы пожарной безопасности используют возможности других элементов системы безопасности. Например, для выявления очага пожара можно использовать видеонаблюдение. Именно такие возможности и требуют комплексности при формировании системы экономической безопасности.

Подсистема контроля управления доступом способствует организации доступа сотрудников и гостей к территориям и закрытым зонам организации. Прежде всего следует упорядочить вход в организацию называемый пропускным режимом. Это не всегда просто сделать, так как ряд организаций требуют свободного доступа. В такой ситуации потребуется выделить зоны для общего доступа и служебного доступа. Например, вход в зону торговли магазина доступен всем, а в зону хранения товаров – только для сотрудников. Организация режима доступа внутри объекта не менее важна, чем организация пропускного режима. Введение такого режима не только приносит положительный эффект защите активов и информации, но и дисциплинирует сотрудников. Дополнительные элементы, способные отслеживать местоположение сотрудников, позволяют, кроме задач, связанных с безопасностью, решать задачи учета рабочего времени, что значительно облегчает работу кадровикам.

Защиту хранилищ с ценными активами можно рассматривать как совместно с контролем управления доступом, так и отдельно. Наиболее актуальным этот вопрос является для кредитных организаций и организаций, имеющих активы «быстрой ликвидности», такие как акции, ценные металлы, оргтехника и др. Для защиты хранилищ с ценными активами не следует выбирать между системами наблюдения и физической охраной. Истина, как всегда, посередине. Лучший эффект может быть достигнут в компромиссе между современными системами охраны и командами, обеспечивающими наблюдение и физическую защиту.

Подсистема информационной безопасности может быть включена в систему экономической безопасности или быть самостоятельной системой. В первом случае иерархия управления информационной безопасностью осуществляется через руководителя экономической безопасности, во втором случае руководитель информационной безопасности будет подчинен руководителю организации. На рис. 2.4 представлены варианты управления информационной безопасностью организации.

Фундаментом информационной безопасности является политика. Политика информационной безопасности – это свод документов, нацеленных на обеспечение сохранности и доступности документооборота, служебной и коммерческой тайны. При организации процесса информационной безопасности отдельно выделяются вопросы, связанные с обеспечением защиты персональных данных. В особых случаях вопросы, связанные с внешней информацией об имидже организации, могут быть переданы специалистам информационной безопасности.

Рис. 2.4. Варианты управления информационной безопасностью организации

Мнение автора!

Но целесообразнее вопросы информации, связанной с имиджем организации и противодействием черному PR, передавать маркетологам и специалистам по рекламе и внешним связям.

Подсистема кадровой безопасности функционирует в сопряжении с сотрудниками отдела или управления кадров организации. Кадровая безопасность – это процесс минимизации рисков, связанных с персоналом и кандидатами на работу.

Трендом последнего времени стала передача таких функций на аутсорсинг. Руководители, поступающие таким образом, имеют желание снять с себя ответственность, переложив ее на внешние организации. Однако такая мода проходит, так как ответственность за информационную безопасность всегда лежит на руководителе.

Кадровая безопасность осуществляется на всех этапах, от поиска и отбора кандидатов на работу и до увольнения и дальнейшего сопровождения сотрудников. Важным условием кадровой безопасности является хорошо организованное взаимодействие между сотрудниками отдела кадров и сотрудниками подразделения экономической безопасности. Перед внедрением подсистемы кадровой безопасности следует четко определить зоны ответственности. Другим необходимым условием является обязательное владение компетенциями, необходимыми для обеспечения кадровой безопасности. Одной, из таких компетенций является способность выявлять отношение к корпоративной лояльности.

Мнение автора!

Следует учитывать, что не каждый сотрудник может заниматься обеспечением кадровой безопасности. Назначение на такие должности честных и порядочных сотрудников может привести к обратному эффекту, так как именно честных и порядочных людей легче обмануть. Культурные и воспитанные люди, не обманывающие других, чаще всего считают, что и остальные люди такие же, как они. Очень сложно или практически невозможно обмануть людей, которые сами ранее обманывали других. Выводы делайте сами.

Опросы сотрудников подразделений экономической безопасности и руководителей отделов кадров показали, что:

• считают взаимодействие неопределенными более 50 % опрошенных;

• отметили отсутствие регламента кадровой безопасности более 56 % опрошенных;

• считают незначительными риски, связанные с кадровой безопасностью, более 60 % опрошенных;

• не проводят тренинги и деловые игры, направленные на совершенствование кадровой безопасности, более 90 % опрошенных.

Эти данные показывают существование резерв в совершенствовании кадровой безопасности.

Подсистема защиты интеллектуальной собственности в большей степени характерна для организаций с основным видом деятельности, направленным на инновационные разработки. Кроме новых промышленных образцов данная подсистема защищает товарные знаки и фирменные наименования, базы данных, полезные модели, селекционные достижения и наименования мест происхождения товаров.

В погоне за прибылью не следует забывать, что шампанским можно называть только продукцию, изготовленную в Шампани, а цвета бренда, соответствующие окрасу пчелы, зарегистрированы в товарном знаке Билайн (ПАО «ВымпелКом).

Правовая база для защиты интеллектуальной собственности строится на законах о недобросовестной конкуренции и коммерческой тайне.

Подсистема обеспечения непрерывности бизнеса с большой натяжкой может быть отнесена к системе экономической безопасности. Процессы, связанные с непрерывностью бизнеса, регламентированы международными и Российскими стандартами, например, ИСО (ISO) 22301 – Непрерывность бизнеса.

Подсистема обеспечения непрерывности бизнеса защищает организацию от перебоев и нестабильной работы. Основной целью подсистемы обеспечения непрерывности бизнеса является снижение вероятности сбоев в основном производстве и способствование в восстановлении работоспособности после нарушения производственной деятельности. Для достижения цели принято решать следующие задачи:

• непрерывный мониторинг существующих и возможных угроз основному бизнесу;

• устранение последствий, связанных с нарушением основного бизнеса;

• упреждение последствий воздействия инцидентов, влияющих на бизнес;

• повышение эффективности основных функций, используемых в кризисные и сложные периоды;

• уменьшение периодов простоев во время производственных инцидентов;

• сокращения периода восстановления.

Дополнительными задачами, способствующими обеспечению непрерывности бизнеса, могут быть: