Текст книги "Безопасность бизнеса"

Надеемся, никто из читателей не узнал себя в сказках.

Итог главы и применение на практике

Система безопасности в любой организации создается от рисков. Для понимания и визуализации проблем создайте карту рисков.

Категории рисков:

• финансовые;

• кадровые;

• технико-технологические;

• периметр и охрана;

• правовые.

Уровни рисков:

• абсолютный;

• стабильный;

• нестабильный;

• критический;

• кризисный.

Не обязательно делать таблицу. Можно сделать диаграмму или вообще борд с наложением на карту предприятий. Для этого, правда, нужно совладать с программами для визуализации, но выглядеть будет наглядно.

В общем, любым удобным способом определяем и визуализируем риски, и шагаем дальше.

Для качественных и подробных заметок

Для качественных и подробных заметок

Глава 2.
Основы построения безопасности. Конфиденциальность

В 2022 году к одному из авторов обратилась собственница консалтингового агентства из Объединенных Арабских Эмиратов (ОАЭ). Задача предстояла следующая – построить систему конфиденциальности в компании с нуля.

При первоначальном общении с заказчиком ничего сложного в вопросе создания такой системы автор не увидел. Банальный кейс для однополярной организации, хоть и с большим финансовым оборотом. По сути, в фирме всего несколько десятков сотрудников и один офис в Дубае. Не металлургический завод, и даже не сеть торговых точек регионального уровня. Просто консалтинговое агентство.

Сфера деятельности заказчицы – помощь в организации бизнеса на территории Эмиратов. Образно говоря, есть в одной из стран СНГ предприниматель, который хочет открыть филиал или вообще переехать в ОАЭ. Предприниматель этот, естественно, не имеет времени разбираться в тонкостях законодательства страны и не желает заниматься бумажной волокитой.

Консалтинговое агентство помогает ему собрать пакет документов для регистрации бизнеса на территории Эмиратов, открывает банковские счета, способствует в получении вида на жительство. В зависимости от заказа может подобрать недвижимость для аренды, сделать обзор рынка и выявить конкурентов. Клиенты агентства – собственники крупного и среднего бизнеса. Но в основном крупного. С оборотами от миллиарда рублей.

Естественно, коммерсанты и топ-менеджеры компаний такого уровня не любят публичности и распространения подробностей своей деятельности. Поэтому конфиденциальность в работе агентства необходима прежде всего.

Собственницей агентства в режиме короткой конференции в «зуме» была поставлена задача – создать такую систему конфиденциальности, которая полностью исключит утечку информации из компании. Рабочая встреча имела сжатый характер, женщина коротко и пылко (пока пила чашечку кофе перед рейсом в международном аэропорту Рима) обозначила лишь общее направление. Первоначально задача показалась совсем не сложной, планировалось создать «Положение о конфиденциальной информации», штрафную сетку и ряд должностных инструкций. Автор даже посоветовал клиентке обратиться к среднестатистическому кадровику. Но уже на следующей конференции оказалось, что все далеко не так банально.

***

Короткая ремарка от авторов. Она же одна из аксиом безопасности.

Конфиденциальность – это один из элементов системы безопасности. На крупном предприятии конфиденциальность затрагивает все сферы деятельности. И кадровую политику, и финансовые операции, и механики производства, и сферу закупок, и IT. На законодательном уровне закреплен запрет на разглашение личных данных сотрудников, в уголовном праве существует понятие промышленного шпионажа. Любые крупные сделки обеспечиваются подписанием NDA (соглашение о неразглашении сути сделки между организациями).

В примере про консалтинговое агентство из ОАЭ важно то, что заказ был не на построение системы безопасности. Собственница хотела только полностью закрыть вопрос по конфиденциальности. Оно и понятно. Сокращать расходы в консалтинговом агентстве практически негде. Хищения отсутствуют как класс. Тендеров, закупок не проводится. Периметра, камер и прочих элементов физической охраны тоже нет. Из материальных ценностей – только обстановка офиса и минимум наличности в сейфе. Ценностью являлась исключительно информация.

Сложно спорить (да и не нужно) о том, что информация сегодня одна из главных золотоносных жил бизнеса. Кто владеет информацией, тот владеет сделками, контрактами, громким брендом. И в итоге своим сегментом рынка.

Когда задача по созданию системы конфиденциальности в ОАЭ развернулась во всей своей красе, автор тяжко вздохнул. Предстояла долгая и плодотворная работа.

Вместе с хозяйкой агентства определили круг рисков. И в дальнейшем отталкивались от каждого риска индивидуально (надеемся, вы внимательно читали первую главу).

Как думаете, какие риски при оказании услуг консалтинга в Эмиратах для состоятельных бизнесменов?

Нет, это не шпионаж собственных сотрудников в пользу конкурентов. И не попытки сотрудниц завести роман с клиентами. Это безалаберность, длинные языки, глупость работников и расслабленность в коллективе.

Коллектив, в основном состоящий из молодых клерков, айтишников, незамужних женщин и бывших студентов, просто не мог сохранять в тайне подробности бизнеса своих клиентов. Почему и как собственница собрала именно такую команду – не наше дело. Думаем, главным преимуществом при рассмотрении кандидата было знание 2—3 языков на разговорном уровне. Но это не важно. Важно было создать систему конфиденциальности, исходя из имеющегося положения. А не воспитывать заказчицу и не указывать ей, кого брать, а кого не брать на работу. В коммерческой сфере лучше вообще никого не воспитывать. Это вам не правоохранительные органы.

Забегая вперед, скажем, что система для компании из ОАЭ удалась и работает и поныне. Далее речь пойдет именно про эту систему. Но авторы рекомендуют применять такую формацию для большинства организаций. Поэтому при построении элемента структуры безопасности и конфиденциальности вы можете взять ее.

Расширенная универсальная «Система конфиденциальности».

Данный комплекс документов включает в себя два типа документов. Первый тип – официальные положения и регламенты.

Сухие, юридически выверенные:

1. Положение о коммерческой информации (тайне).

2. Перечень сведений, составляющих коммерческую тайну.

3. Штрафная сетка.

4. NDA.

Первый тип документов, как видите, представляет собой стандартный набор, который должен быть в любой организации. Фундамент сохранения конфиденциальной информации. Данные документы подписываются каждым сотрудником вне зависимости от занимаемой должности.

О том, где их взять, мы скажем после краткого описания.

Положение о коммерческой тайне предполагает информацию о том, в соответствии с какими нормативно-правовыми актами разработано понятие конфиденциальности, понятие коммерческой тайны, ответственность за разглашение, порядок предоставления информации в государственные органы и так далее.

Это максимально «высушенный» документ, который хоть и хочет быть понятным для всех, но оставляет желать лучшего в ясности. Положение будет стандартным для большинства организаций.

Перечень сведений, составляющих коммерческую тайну, содержит широкий список сведений для конкретной организации.

Сокращенно может выглядеть так:

1. Сведения по вопросам управления, кадровым, штатным, правовым вопросам и вопросам региональной политики, сведения о клиентах организации в любой форме, сведения о партнерах организации в любой форме, сведения о контрагентах организации в любой форме.

2. Сведения об экономической, финансовой и бухгалтерской деятельности.

3. Сведения о коммерческой деятельности на внутреннем рынке.

4. Сведения по вопросам внешнеэкономической деятельности.

5. Сведения об IT-архитектуре организации.

Расширенная версия предполагает углубленное «расписывание» и обоснование каждого пункта.

В принципе, этот список может быть внесен в «Положение о коммерческой тайне», но мы рекомендуем утвердить отдельный документ. Не ради бюрократии, а для практического применения и донесения до сотрудников. Поверьте, его все равно придется в виде выписки «извлекать» из Положения. Ведь сотрудникам так нагляднее.

Штрафная сетка

Напомним, мы сейчас ведем разговор о конфиденциальности. Решать, какие наказания применять к сотрудникам за разглашение конфиденциальной информации, вам предстоит совместно с HR или с кадровой службой. В этом случае мы предлагаем не плодить бюрократию, а объединить все виды наказаний в одной таблице. И за разглашение конфиденциальных сведений, и за опоздание на работу, и за прочие проступки.

Штрафная сетка имеет простой табличный вариант, утвержденный руководителем предприятия.

Вообще разговор о штрафах – это отдельный геморрой. Фактически законодательство и так предполагает ответственность сотрудников за разглашение коммерческой тайны и сопутствующие правонарушения (ст. 183 Уголовного Кодекса РФ). Трудовой Кодекс регламентирует и опоздания, и прогулы, и прочие нарушения трудовой дисциплины. Наказания за кражи, коммерческие подкупы и мошенничества, естественно, предусмотрены УК РФ.

Штрафная сетка реально выполняет две функции – профилактическую и наказания за мелкие нарушения. С профилактикой все понятно (надеемся). С наказаниями за мелкие нарушения тоже более-менее понятно – нарушение формы одежды на производстве, грубость по отношению к клиенту в ритейле и прочие неприятные истории.

В любом случае приходится возвращаться к взаимодействию с кадровой службой. Штрафы в коммерческих организациях не назначаются просто так. Нельзя лишить человека премии на пустом месте. Любой штраф – это первоначально служебная проверка, объяснение, приказ. И только потом лишение части денег. И даже при этом все не так легко. Надеемся, ни для кого не новость, но штраф может взиматься только с премии. Либо от ежемесячной ее части, либо от годовой. Только KPI (ключевой показатель эффективности, или попросту говоря премия) является базой для уменьшения, а не окладная часть зарплаты.

Повторим третий раз – штрафные сетки создаются и вводятся в действие совместно с кадрами.

Впрочем, ваша задача сделать так, чтобы конфиденциальные сведения не ушли на сторону. И не были разглашены по случайности. А штрафы – крайняя и непопулярная мера.

NDA

Еще одна (наряду с KPI) относительно новая аббревиатура. Non-disclosure agreement – соглашение о неразглашении. Заключается между двумя организациями, когда сведения о коммерческой (или любой другой) деятельности становятся известны контрагенту. Например, вы вызываете специалиста для настройки «1С: Erp». В процессе работы специалист видит ваши финансовые показатели или поданную заявку на патент. Чтобы у временно нанятого сотрудника не возник соблазн проинформировать ваших конкурентов – необходимо заключить NDA.

Соглашение о неразглашении в 95% случаев типовое. Составляет его юрист, подписывает руководитель организации и контрагент.

Думаем, некоторые читатели уже задались вопросом – где взять образцы документов. Отвечаем – в конце книги вы найдете контакты авторов. Обратитесь к нам, и мы скинем вам на почту типовые версии Положения, Перечня, Штрафной сетки и NDA. Просто предложите нам свою дружбу. Шутим, отправим полностью безвозмездно. Дабы вы не искали ерунду в интернете.

Переходим ко второму типу документов, которые необходимы для корректной работы системы конфиденциальности. Их мы вам не предоставим. Для каждой организации такие документы индивидуальны, они верстаются с нуля. Можете обратиться к профессиональному специалисту, который вам их создаст. Либо попробуйте сделать сами. Да, и мы скажем правду, – второй пакет не обязателен, но лучше его сделать.

Политика конфиденциальности – глобальный документ в виде системы, которая объясняет сотрудникам всех уровней для чего нужна конфиденциальность. В отличие от Положения, составляется понятным языком с обращением к читателю. Тезисная простота и понятность соседствует со смешными примерами. В Политике руководство, обращаясь напрямую к сотруднику, рассказывает о компании, об общих целях по достижению прибыли. Максимально заботливо и ясно.

Если вы работали в крупных компаниях, то знаете, что у любой крупной сети продуктовых или строительных супермаркетов есть мотивационная система для сотрудников. Эдакий комплекс документов, написанный простым языком, – про историю компании, про устремления, про общие цели, поддержку друг друга. В этих же проспектах содержится и ненавязчивая информация о том, что в фирме не приветствуется. Политика конфиденциальности построена по такому же принципу – объяснить сотруднику, что и для чего.

Например, Политика для консалтинга из ОАЭ начинается со слов:

«Когда мы разговариваем с родителями по телефону – стараемся контролировать, что говорим. Не говорим о проблемах и кредитах, боимся „сболтнуть лишнее“. Общаясь со своими детьми – выбираем слова, думаем, прежде чем сказать. Дома не оставляем острые предметы в ящике с игрушками. Мы контролируем речь и действия в личной жизни, а когда контроль ослабевает – пожинаем негативные плоды. Обсуждая жизнь друзей и подруг, мы знаем, что они так же сплетничают о нас. Нам это неприятно. Это простые истины, правила „чистых рук“, их знают все».

В тексте даже есть пословица – про слово и воробья.

Понятно, что конкретно эта политика подстроена под среднестатистического сотрудника того агентства. Ориентирована на возраст, сферу общения и образ жизни. При создании аналогичного документа всегда необходимо учитывать, кто будет читать текст – среднестатистический менеджмент, вчерашние студенты или сегодняшние эмигранты. Каждому свое.