Оглавление

Предисловие. Почему я написал эту книгу

Кто-то из великих сказал, что дельные книги пишутся из сострадания к читателю. Говоря иначе, писать следует ту книгу, которую читатель уже ищет на своей полке, ищет, но не находит. Таким образом, цель моей работы — заполнить пробел и одновременно вознаградить чьи-то поиски. Другими словами — дать ответ на вопрос или вопросы, которые уже поставлены теми, кому эта книга адресована.

Что же это за вопросы и кто такие читатели, у которых они возникают?

Читатели — это в первую очередь руководители частных компаний: владельцы, директора, топ-менеджеры. Те, кто заинтересован в успешной работе компании и имеет полномочия формировать её структуру, правила её внутренней жизни. Что касается вопроса — то он выражается словом «безопасность». Точнее говоря — обеспечение безопасности компании с помощью специальной структуры — службы безопасности (СБ). У перечисленных мною читателей имеется стойкий запрос на обеспечение защищённости, они знают, что для этого используется СБ, но вот как одно сочетается с другим — для многих пока загадка.

Некоторые прибегают к помощи сторонних консультантов — и получают весь возможный спектр взаимоисключающих рекомендаций, что вполне закономерно. На мой взгляд, до сих пор нет единого понятийного аппарата, единой методологии создания системы корпоративной безопасности, выверенных формулировок, терминов, определений отдельных элементов. В самом деле, если тема обеспечения безопасности государства и его структур является хорошо изученным и методологически отработанным материалом за долгие годы работы научных школ специальных высших учебных заведений, то в вопросах обеспечения корпоративной безопасности частных или государственных компаний наблюдается большая вариативность и многообразие форм.

Почему так? Потому что частный бизнес бесконечно многообразен — столь же многообразен, как личности его основателей и руководителей, отражением которых он во многом является. Отражением их темперамента, взглядов, знаний, управленческих навыков, культурных паттернов, жизненных целей.

Именно поэтому предпринимателю или топ-менеджеру не годятся «сборники кулинарных рецептов по безопасности» — ему требуется понимание, а подходящий для его бизнеса рецепт он создаст сам.

Автор накопил многолетний опыт, работая в правоохранительных структурах, а также в корпоративных СБ, по-разному организованных и по-разному управляемых. Есть у меня за спиной также и опыт создания служб безопасности с нуля или почти с нуля — как в целом, так и отдельных её элементов. Наверняка полезным для читателя станет сравнение характерных точек зрения: СБ — на саму себя и, наоборот, бизнеса — на СБ. Опыт работы автора в различных корпорациях не только на позициях сотрудника или руководителя СБ, но и непосредственно в бизнес-подразделениях, которые являются заказчиками и потребителями услуг СБ, позволяет увидеть, как порой завышаются ожидания бизнеса от СБ. Впрочем, нередко имеет место и обратное: бизнес весьма плохо информирован о возможностях СБ и неадекватно занижает планку постановки задач и ожидания результата.

СБ вполне органично (если работает в составе здоровой и зрелой компании) может вплетаться в бизнес-процессы, своевременно выявлять и предотвращать риски, минимизировать их негативные последствия, тем самым защищая бизнес. А может тянуть одеяло на себя, вступать в корпоративные конфликты как орудие одной из сторон, драматичным образом зависеть от личности руководителя бизнеса или руководителя самой СБ, иным образом дестабилизировать корпорацию, самостоятельно создавая риски своей деятельностью.

Иными словами, СБ — это и дорогая, и сложная «игрушка», от качества сборки которой и от квалификации собирающих может зависеть судьба бизнеса или как минимум величина ущерба при его столкновении с реальными угрозами.

Автор анализирует собственный опыт, опыт своих коллег, время от времени меняет углы обзора на отдельные аспекты корпоративной безопасности, чтобы лицам, принимающим решения, было более понятно и прозрачно, что и из чего они выбирают, когда говорят о безопасности, как балансировать на весах «риск — польза», какие этические и правовые границы существуют в вопросах безопасности и можно ли их переступать.

Глава 1. Безопасность на страже бизнеса

Бизнес и риск

Пожалуй, стоит начать с определения. «Предпринимательская деятельность — это самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг. Классическая, взятая из Гражданского кодекса Российской Федерации формулировка фокусирует внимание на том, что бизнес — это деятельность, связанная с риском. Не вдаваясь в любимое развлечение теоретиков безопасности — разграничивать понятия риска, опасности и угроз, просто подчеркнём, что зарабатывать деньги, заниматься бизнесом всегда опасно. И предприниматель рискует порой не только деньгами, то есть неполучением прибыли или возможными убытками.

Есть риски, которые мы назовём обычными бизнес-рисками. Они возникают в ходе реализации бизнес-проекта или в операционном бизнесе при условии корректного поведения людей и организаций. К ним мы относим такие факторы и обстоятельства, как ошибки в расчётах бизнес-проекта, всевозможные аварии и стихийные бедствия, управленческие ошибки менеджеров, успешные, но при этом корректные действия конкурентов, рутинные или внезапные изменения налогового и иного законодательства или, допустим, обрыв важных партнёрских связей в силу изменения политических обстоятельств.

Но есть и другая группа рисков, источником которых являются внешние и внутренние (по отношению к корпорации) угрозы.

В целом угрозы — это неправомерные, некорректные по форме или по существу действия, направленные во вред бизнесу.

Что мы имеем в виду?

К внешним угрозам можно отнести умышленное негативное воздействие на бизнес государственных регуляторов, правоохранительных и контрольно-надзорных органов, воздействие преступных лиц и групп, включая посягательства на собственность, активы, рейдерские захваты, недружественные слияния и поглощения, угрозы личной безопасности бенефициаров бизнеса, ключевых сотрудников и членов их семей, недобросовестное поведение конкурентов, хакерские атаки и т. д.

Взглянув на этот (неполный) список, мы замечаем любопытную вещь: не всё перечисленное является нарушениями закона. Некоторые вещи, такие как недружественные слияния и поглощения, могут осуществляться вашими недругами и конкурентами в полном соответствии с действующими нормами. Однако это именно угрозы, а не то, что мы ранее назвали бизнес-рисками. Почему? Потому что бизнес-риск — это когда конкурент выводит на рынок конкурирующий продукт и только этим доставляет вам неприятности. А вот когда он своими действиями пытается разрушить ваши внутренние бизнес-процессы — допустим, нарушив вашу логистику или перекупив ключевого специалиста, — это самая что ни на есть внешняя угроза.

А что же такое внутренние угрозы? Это разногласия предпринимателя с партнёрами, которые зачастую, начав как единомышленники, по разным причинам становятся врагами, деструктивное поведение нелояльного менеджмента, это умышленные или неосторожные действия или бездействие, вследствие которых утекает коммерческая тайна (например, клиентские базы данных), это получение сотрудниками откатов — то, что официально называется коммерческим подкупом, — вследствие чего компанией заключаются договоры не с лучшими контрагентами и не на лучших условиях, «исчезают» деньги на счетах или продукция на складе и происходит много других неприятных или даже фатальных событий.

Едва ли сегодня существуют наивные бизнесмены, вовсе не осознающие наличие этих проблем. Они понимают, что необходимо уделять внимание защите своего бизнеса и себя лично, и что кроме собственного внимания придётся потратить на эту задачу и другие ресурсы. Причём делать это надо заранее, до того, как проблемы встали во всей своей красе.

И тут у бизнесмена возникает естественный вопрос — какой толщины должна быть возводимая крепостная стена, сколько линий обороны должно быть организовано? Достаточно ли просто ввести в действие какие-то правильные регламенты? Или воспользоваться услугами внешнего консультанта? Или необходимо включить в штат специалиста по безопасности? Или создать целое структурное подразделение, занимающееся такими проблемами — службу безопасности (СБ)?

А может, стоит передать вопросы безопасности на аутсорсинг?

Но если, допустим, всё-таки включать в состав компании специалистов по безопасности, то у нашего бизнесмена сразу возникают новые группы вопросов. Есть ли специально обученные люди, которые могут мне помочь? Как мне организовать взаимодействие с такими людьми? Как мне им доверять, если я приду к ним за помощью, и сколько это будет стоить? В какие процессы запускать этих людей, а какие держать от них в секрете? А как быть уверенным, что сами эти люди не станут создавать бизнесу проблемы, предлагая удобные для себя варианты их последующего решения? Иначе говоря, как избежать превращения этих людей в самостоятельную угрозу безопасности и при этом наиболее эффективно использовать их профессиональный потенциал?

Заметим попутно, что по части использования потенциала специалистов по безопасности можно зайти очень и очень далеко, превратив защитников своего бизнеса в средство атаки бизнеса конкурента. Несложно вообразить дальнейшее движение по этому пути: успешная война требует подчинения всего своим военным целям, и постепенно компания может стать на «военные рельсы» и тратить неадекватно большой ресурс на войну с конкурентами, регуляторами, реальными и вымышленными противниками.

Итак, у бизнесмена возникает запрос на обеспечение корпоративной безопасности, которую можно определить как состояние защищённости принадлежащей и/или управляемой им корпорации от внутренних и внешних угроз.

Здесь следует уточнить определения, которыми мы дальше станем пользоваться: под корпорацией в широком смысле мы станем понимать систему бизнес-процессов, объединенных общей целью — извлечение прибыли (или как, например, в случае с некоммерческими организациями — эффективное расходование средств в соответствии с поставленными целями), совокупность лиц, реализующих эти процессы (менеджмент), инфраструктуру компании, её активы, в том числе информацию. Фактически корпорация — это инструмент, с помощью которого бизнесмены решают свои бизнес-задачи. В узком же смысле под корпорацией понимается конкретное юридическое лицо или группа аффилированных юридических лиц.

Разумеется, решает, какой быть корпоративной безопасности, всегда собственник бизнеса или уполномоченное им лицо, например генеральный директор. При этом он должен учитывать множество разных факторов, часть которых уникальна для его ситуации, тогда как другая часть — довольно типична для определённого класса корпораций. Эта типичность сильно облегчает задачу проектирования системы корпоративной безопасности. По этой причине проектирование начинается с определения принадлежности корпорации к тому или иному классу. Иначе говоря — к позиционированию в многомерном пространстве критериев.

Формулировка кажется сложной? На самом деле здесь всё просто: есть критерии, и надо приложить их к своему бизнесу. Вот самые существенные:

— По отношению к типу учредителя: частный, государственный, гибридный (например, частью акций владеет государство, или создано НКО, учреждённое государственными структурами).

— По отношению к источнику финансирования: бизнес существует и/или развивается на частные деньги, государственные деньги или использует в своей деятельности варианты косвенного государственного финансирования (например, субсидии, гранты, налоговые льготы).

— По наличию/отсутствию бизнес-процессов, нарушающих законодательство: «белый» (все бизнес-процессы которого существуют в правовом поле), «серый» (как вариант, со спорными схемами налоговой оптимизации или работающий в слепой зоне государственного регулирования, например в сфере обращения криптовалюты) или «чёрный» (например, занимающийся обналичиванием денежных средств или подкупом государственных служащих для победы в тендерах, получения разрешительных документов, прохождения лицензирования и т. п.).

— По характеристике конкурентного окружения: плотное конкурентное окружение, среднее или сфера с низкой конкурентной активностью и, соответственно, «агрессивностью» внешней среды. Впрочем, острота конкуренции вовсе не всегда означает склонность конкурентов к некорректным действиям. Это два разных параметра.

— По наличию или отсутствию бизнес-процессов, подпадающих под государственное регулирование в форме лицензирования, государственного аудита, финансового контроля (например, розничное кредитование или бизнес с информационными системами и процессами, входящими в реестр критической информационной инфраструктуры).

— Наконец, по объёму оборотных средств и валовой прибыли: крупный бизнес, средний или малый.

Определившись, то есть ответив на эти вопросы, собственник создаёт вариант описания бизнес-модели своей корпорации. Вот несколько примеров того, как это может выглядеть:

— «У меня средняя компания, с валовой прибылью Х миллиардов рублей в год, принадлежащая мне и ещё одному партнёру — частному лицу, с которым возможны проблемы при выходе его из бизнеса. Мы работаем в высококонкурентном секторе экономики и постоянно сталкиваемся с „неспортивным“ поведением конкурентов. Для развития одного из проектов мы привлекли государственную субсидию и будем отчитываться о целевом финансировании. Также мы периодически участвуем в государственных аукционах и, как многие победители, платим откаты за заключенные контракты. На один из видов деятельности компании мы получили лицензию и, вероятно, столкнемся с „выкручиванием рук“ при продлении лицензии».

— «Я генеральный директор НКО, учредителем которой является федеральный орган исполнительной власти. Мы получаем финансирование в виде государственных субсидий на сотни миллиардов рублей, должны их осваивать, и рано или поздно о наших расходах нам придётся отчитаться перед Счётной палатой. Мы проводим много закупок товаров и услуг для выполнения целей, ради которых было создано НКО. Компания быстро выросла, и сейчас в штате уже 150 человек, а через год будет ещё столько же. Мы, скорее всего, не совершаем никаких преступлений, но небрежность в проведении закупок, возможно, вызовет признание контрольным органом некоторых расходов нецелевыми со всеми вытекающими последствиями».

— «Я долларовый миллиардер, владеющий значимыми для экономики города/страны активами. Я максимально воздерживаюсь от выстраивания бизнес-отношений с государством и не привлекаю государственное финансирование. Бывает, что приходится проходить установленные государством процедуры для получения нужной бизнесу документации, но я действую, как все в этом рынке, обращаясь к посредникам, умеющим ускорять эти процедуры. Я чувствую себя защищённым, так как в моей телефонной книжке есть несколько телефонов очень больших людей, а с некоторыми из них мы дружим семьями».

— «Я хочу заняться, наконец, своим бизнесом, выйдя из системы, где я был одним из многих. Теперь я работаю только на себя. Я видел, что в той системе, где я был раньше, была служба безопасности, которая защищала систему от криминала и/или от некорректных действий правоохранительных органов. Теперь, плавая один, я тоже хочу не попасть в беду, но финансировать службу безопасности мне точно не по карману, поэтому мне важно понять ключевые опасности, влекущие риски уголовного преследования».

Описав себя таким образом, можно понять, что, от кого и когда нужно защищать, какие бизнес-процессы какие риски создают, как поддерживать жизнеспособность такой корпорации в конкурентной среде и во взаимодействии с органами власти, какие суммы потерь или какие уголовно-правовые последствия потенциально может понести бизнес, если целенаправленно не заниматься вопросами безопасности. Или, говоря иначе, какие затраты на обеспечение безопасности для данной корпорации осмысленны, какие недостаточны, а какие — чрезмерны.

Кто такие безопасники и откуда они берутся

Допустим, наш собственник бизнеса понимает, что защита его бизнесу не помешает. Или даже видит, что без принятия специальных мер его бизнес разорвут разные хищники из конкурентного окружения или нечистоплотные чиновники. А значит, нужно найти человека, которому можно доверить самые тонкие, специфические вопросы, вплоть до личной безопасности, и который при этом умеет хорошо делать свою работу — защищать корпорацию от угроз. Заметим сразу, что это два разных требования к человеку, независимые одно от другого. Требуется именно их сочетание «в одном лице» — все иные варианты не подходят, они не решают проблемы, а создают новые.

Скажем сразу, руководители служб безопасности корпораций — это в 90% случаев бывшие силовики, то есть выходцы из разных правоохранительных органов или спецслужб. Или военные. Не станем утомлять читателя пересказом учебника «Правоохранительные органы» с первого курса юридического факультета, где перечисляются все эти организации и их задачи. Но что у этих людей между собой общего, рассказать следует.

Итак, какие хард-скиллз (hard skills) имеются у них?

Во-первых, это, как правило, хорошая юридическая подготовка в области уголовного права и процесса. Дополнительно — знание нормативных правовых актов в той сфере, которую они курировали, находясь на службе: какой-либо из видов надзора для работников прокуратуры, какая-то линия для оперативных сотрудников: например, кредитно-финансовая сфера, конкретные виды экономических или иных преступлений, знание специфики ра