На вопросы СМИ «Безопасность бизнеса» отвечает Вячеслав Панкратьев, заведующий кафедрой безопасности Университета государственного и муниципального управления, полковник юстиции в запасе.
— Добрый день, Вячеслав! Вы имеете два высших образования: закончили с красным дипломом Высшее пограничное военно-политическое училище КГБ СССР и юридический факультет Академии ФСБ, в настоящее время возглавляете кафедру безопасности Университета государственного и муниципального управления. Как Вы считаете, для современных специалистов по безопасности методики и подходы, которым учили Вас, еще актуальны?
— И в первом, и во втором учебных заведениях в основном учили «Родину защищать». Методы защиты государства существенно отличаются от методов защиты коммерческих структур или защиты активов, принадлежащих физическим лицам. Но и Высшее пограничное военно-политическое училище и Академию ФСБ я вспоминаю с теплотой и благодарностью. Лично мне они дали многое, что я потом использовал в своей преподавательской и консультационной деятельности. В политическом училище меня научили хорошо говорить и не бояться выходить выступать перед большой аудиторией. Научили формировать и доводить нужную мысль на публичных выступлениях. Научили убеждать и дали основу ораторского мастерства. Юридическое образование, полученное в Академии ФСБ, позволило взглянуть на вопросы корпоративной безопасности с правовой точки зрения. Понять, что может делать безопасник законно, а что выходит за его права.
Если анализировать с точки зрения практики, то многие методики, преподаваемые мне двадцать пять-тридцать лет назад в «конторских» учебных заведениях не потеряли своей актуальности. Поменялось много в техническом плане, но организационные моменты безопасности остаются прежние. Например, методы контрольно-ревизионной деятельности или методы информационно-аналитической работы стабильны. Есть классика, написанная много лет назад и не устаревающая. Например, возьмите книгу Макиавелли «Государь» и почитайте. Написано несколько сот лет назад, а читается, как будто написано про наше время. Или, например, психологические приемы общения с работниками, применяемые безопасниками, не сильно отличаются от методик вербовок и ведения оперативно-разыскной деятельности, преподаваемых в Академии ФСБ.
Кроме того многие элементы в корпоративной безопасности строятся по тем же схемам, что и в государственной безопасности. Например, создание на предприятии системы конфиденциального делопроизводства похоже на секретное делопроизводство. По крайней мере, в части организационных моментов.
— Какие новые тренды в корпоративной безопасности Вы выделяете и к чему надо быть готовым в сфере корпоративной безопасности в режиме пост пандемии и кризиса?
— Мир очень быстро меняется и желательно не оказываться «генералом, готовящимся к прошедшей войне». То, что было актуально в прошлом году, в этом году уже очень сильно устарело. Данный год охарактеризовался пандемией и образовавшемся на его фоне кризисе.
Чем кризис 2020 отличается от кризисов прошлых лет, которые в нашей новейшей истории случаются с «завидной регулярностью»? Отметил для себя четыре особенности.
- Во-первых, кризис большей частью рукотворный и не связан с макроэкономикой. В прошлые кризисы было невыгодно работать, в этот кризис работать просто запретили (самоизоляция и т.д.).
- Во-вторых, трендом современного года является дистанционка и удаленная работа. Все бизнес-процессы, а следовательно и безопасность, перестраиваются под этот тренд. Этот тренд сохранится и после кризиса.
- В-третьих, государство в этот раз активно поддерживает бизнес в кризис и компании «смотрят в рот государству». Пытаются получить эту поддержку (льготные кредиты, субсидии, госзаказы, налоговые льготы). То есть работают не в тех секторах, где можно заработать, а в тех, где можно получить помощь или гарантии от государства.
- В-четвертых, кризис развивается на фоне массового внедрения информационных технологий, автоматизации, роботизации и искусственного интеллекта, что делает ненужным большое количество сотрудников.
Это только особенности современного кризиса. Есть еще много стандартных факторов (снижение покупательского спроса, банкротства, отток капитала и т.д.).
При трансформации корпоративной безопасности, которая неминуемо будет происходить, эти четыре фактора обязательно надо учитывать.
— Самый непонятный термин в сфере корпоративной безопасности — это «эффективность». Как оценивать и измерять эффективность? Какие существуют критерии и методики оценки эффективности?
— Это действительно так. Понятие «эффективность» и в корпоративной безопасности, и в иных сферах имеет очень субъективный оттенок. Как оценивать и измерить эффективность? Какие критерии оценки эффективности? Какие есть методики оценки эффективности?
С оценкой эффективности сталкивался часто. Возьмем, к примеру, оценку эффективности траты бюджетных средств. Какие критерии оценки: потратили много денег (неэффективно) или удалось сэкономить (эффективно)? Сегодня сэкономили, а завтра придется все переделывать. Купили за бюджетные деньги качественный, но дорогой товар, а завтра вас обвинят в излишнем расходовании бюджетных средств и ограничении конкуренции. Мне кажется, любое должностное лицо, заключающее контракт, можно обвинить в неэффективном расходовании денег. И доказать это. И наказать.
Возьмем оценку эффективности принимаемых организаций мер по противодействию коррупции. Эффективность будет оцениваться количеством выявленных коррупционеров (палочная отчетность) или количеством предотвращенных правонарушений? Или опять же потраченными на борьбу с коррупцией деньгами.
Продолжать можно бесконечно. Оценка эффективности антитеррора, экономической безопасности, кадровой политики и т.д.
И как оценить эффективность работы службы безопасности как подразделения? По выполненным планам или заданиям? По предотвращенному ущербу? По соблюдению регламентов?
Если будете применять этот термин, то будьте очень аккуратны. Рекомендую, во-первых, определить критерии эффективности и методики измерения, во-вторых, оценивать эффективность мер на временном отрезке. Тогда оценка будет более объективной.
— Всегда актуальны вопросы штатной численности СБ и финансирования ее проектов. Расскажите, какие способы применяют для обоснования бюджета?
— Штатную численность надо обосновывать, когда понятны задачи, решаемые СБ. Алгоритм примерно следующий: сначала понимаете, что такое безопасность бизнеса, нужна ли она вам и что вы от нее хотите. Далее определяете круг задач по корпоративной безопасности. Затем определяете задачи, которые будут решать внешние организации и под которые не требуется штатная численность. Например, охрана, правовая защита (адвокаты), информационно-аналитическая работа (детективы) и т.д. Далее, из оставшихся задач выделяем те, которые будут решать структурные подразделения, не относящиеся к СБ (юристы, кадровики, маркетологи, внутренний контроль, рисковики и т.д.). Остаются задачи, которые будет решать служба безопасности. Эти задачи могут быть как обязательные по требованиям законодательства (антитеррор, антикоррупция, должная осмотрительность и т.д), так и добровольные по инициативе собственника (проверка персонала, взаимодействие с правоохранительными органами, управление дебиторкой и т.д.) Под эти задачи уже формируются штаты.
По финансированию примерно та же ситуация. Проще всего обосновывать необходимость выделения денег на безопасность наличием обязательных требований законодательства. Иногда получается обосновывать моральным устареванием используемых технических или инженерно-технических решений.
— Расскажите про антикоррупционное обучение, которое Вы проводите. Какие курсы и какие темы уже реализованы?
— В последние несколько лет я специализируюсь на антикоррупционном обучении. В Национальном плане по противодействию коррупции на 2018 – 2020 годы, утвержденным Указом Президента РФ, появился целый раздел, посвященный антикоррупционному обучению и консультациям. Причем это касается не только государственных или муниципальных служащих, но и работников госкорпораций, госкомпаний, организаций, созданных для выполнения задач, поставленных перед государственными органами и иных организаций, где есть государственные интересы или бюджетные деньги.
В той или иной степени обучение должны проходить все работники. Особое внимание уделяется вновь прибывшим работникам, работникам, занимающим должности с повышенными коррупционными рисками, работникам, ответственным в организациях за противодействие коррупции, а также работникам, являющимся членами комиссий по противодействию коррупции и урегулированию конфликтов интересов.
На моем сайте представлены несколько обучающих программ, по которым я провожу обучение. Есть программы для обучения чиновников, есть для обучения работников организаций с государственным участием, есть для коммерческих структур. Для иностранных компаний есть программы по антикоррупционному комплаенс. Программы идут как в открытом формате, так и в корпоративном. Для корпоративных клиентов они настраиваются на специфику заказчика.
— В линейке Ваших антикоррупционных семинаров появился новый — «Вычисление личной заинтересованности и конфликтов интересов в закупках». Расскажите, пожалуйста, о нем более подробно. Какие темы включены в программу?
— Минтруд РФ в мае 2020 года выпустил документ с названием «Методические рекомендации по проведению в федеральных государственных органах, органах государственной власти субъектов РФ, органах местного самоуправления, государственных внебюджетных фондах и иных организациях, осуществляющих закупки в соответствии с законами № 44-ФЗ и ФЗ № 223-ФЗ работы, направленной на выявление личной заинтересованности государственных и муниципальных служащих, работников при осуществлении таких закупок, которая приводит или может привести к конфликту интересов».
На основе этого методического документа я и строю свой семинар. Документ определяет основные направления информационно-аналитической работы по вычислению личной заинтересованности. Как по своим работникам, так и по участникам торгов. Но в документе нет конкретных алгоритмов, есть только направления. Конкретные алгоритмы (что смотреть и на какой сайт заходить) организации уже разрабатывают сами. Их и обсуждаем на семинаре.
Обращу внимание на то, что документ хоть и называется методические рекомендации, но является по сути обязательным для организаций, осуществляющих закупки по законам № 44-ФЗ и № 223-ФЗ. На основе него можно попросить увеличение штатной численности (или оправдать уже имеющуюся), обосновать необходимость закупок программного обеспечения, выделение финансирования и т.д.
— Достаточно сложным бывает определение коррупционных рисков, их индикаторов, составление карты коррупционных рисков, бизнес-процессов с повышенными коррупционными рисками. Какие методики Вы можете порекомендовать читателям?
— Я рекомендую пользоваться методиками, разработанными Минтрудом РФ. Это министерство наделено правом официально комментировать антикоррупционное законодательство и к их документам желательно прислушиваться и причитываться.
Начинать работу надо с понимания, что такое коррупция и коррупционное правонарушение применительно к вашей организации (статусу организации, организационно-правовой форме, наличию государственных заказов или акций, принадлежащим государству, наличию бюджетных денег и т.д.), какие требования антикоррупционного законодательства для вашей организации являются обязательные, а какие рекомендательные. Далее уже происходит оценка бизнес-процессов с позиции коррупционных рисков и составляется карта (реестр) коррупционных рисков. Это все подготовительная работа.
Далее уже формируется перечень должностей с повышенными коррупционными рисками, план мероприятий по минимизации коррупционных рисков и план мероприятий по противодействия коррупции в организации.
Минтруд допускает (при необходимости) утверждать в организации свою методику оценки коррупционных рисков, учитывающую особенности бизнес процессов, но на практике я не сталкивался, чтобы ее разрабатывали. Обычно используют методику Минтруда.
В сентябре 2019 года Минтруд РФ издал «Рекомендации по порядку проведения оценки коррупционных рисков в организации». Ими все и пользуются.
— А какие бизнес-процессы наиболее подвержены коррупционным схемам?
— Все бизнес-процессы в той или иной мере подвержены коррупционным рискам. Там, где работают физические лица, может быть коррупция. Даже если работников заменить искусственным интеллектом, который будет принимать решения, то и тогда коррупционные риски останутся, так как кто-то будет создавать, настраивать и программировать этот ИИ. Просто при наличии искусственного интеллекта основными коррупционерами будут программисты.
Есть типовые бизнес-процессы с повышенными коррупционными рисками. Я обычно выделяю шесть групп процессов с повышенными коррупционными рисками:
- 1 группа: бизнес процессы, связанные с управлением персоналом (сфера рекрутинга и найма персонала, персональные кадровые решения, формирование и мониторинг движения кадрового резерва, формирование текстов трудовых договоров и договоров гражданско-правового характера, бонусная и компенсационная политика, обучение за счет компании, увольнение персонала (включая «золотые парашуты»), выполнение управленческих функций, делегирование полномочий (ВРИО, доверенность и т.д.) и т.д.)
- 2 группа: бизнес процессы, связанные со сделками (выбор контрагентов, подготовка, согласование (одобрение) и контроль исполнения сделок, переговоры с потенциальными клиентами, ведение клиентской базы, курирование сферы закупок, организация тендеров, договора с повышенными коррупционными рисками (аренда, агентские договора, посредничество, услуги, договора с физическими лицами, реализация имущества, финансирование юридических и физических лиц, консалтинг, благотворительность, меценатство и т.д.), оформление отчетных документов, формирование правовой позиции компании по претензионной практике, формирование правовой позиции компании по «ценовым» судебным спорам и т.д.)
- 3 группа: бизнес процессы, связанные с взаимоотношением с государством (отношения с правоохранительными органами, с административными органами, с надзорными органами, с лицензирующими органами, сфера государственных закупок и т.д.)
- 4 группа: бизнес процессы, связанные с управлением (общее руководство компанией — головным звеном холдинга деятельностью органов управления и контроля дочерних и иных «зависимых» компаний и соответствующих представителей головного звена холдинга в указанных органах, подготовка и организационное обеспечение принятия фактических и легальных решений органов управления, отношения с ведущими участниками (значимыми миноритариями компании» и т.д.)
- 5 группа: бизнес-процессы, связанные с управлением активами (распределение и сохранность материальных ценностей, оценка активов, участие в капитале других компаний (в том числе проекты слияний и поглощения, организация проведения «должной проверки целевой компании»), аренда, концессия, совместная хозяйственная деятельность, управление непрофильными активами и т.д.)
- 6 группа: бизнес-процессы, связанные с внутренним контролем и информацией (внутренняя контрольно-ревизионная практика (внутренний контроль и аудит, комплаенс, безопасность и др.), информационная политика, в том числе защита конфиденциальной информации и ИT инфраструктура и т.д.)
— В последнее время часто звучит понятие «корпоративная этика». А что писать в кодексах этики и корпоративного поведения, и каким языком этот документ должен создаваться?
— Со словом этика происходят интересные вещи. По сути, этика — это норма поведения в обществе. Так написано во всех словарях. То есть этика привязана к этносу, этническим группам или обществу. И поэтому, когда антикоррупционное законодательство требует создавать в организациях кодексы этики, возникает вопрос – что это такое. В иностранных компаниях, как правило, нет кодекса этики, а есть кодекс поведения.
В определенный период времени стали появляться профессиональные кодексы этики. То есть документы, регламентирующие этические нормы для людей разных профессий. Есть кодекс этики адвоката, кодекс этики журналиста, кодекс этики аудитора, кодекс этики судьи и т.д. Это более правильно. Не может же этика судьи одного суда отличаться от этики судьи другого суда. Клятва Гиппократа же для всех медиков одинаковая. И стало возникать много вопросов. Например, какой этикой должен руководствоваться внутренний аудитор – профессиональной этикой или этикой, утвержденной в компании, в которой он работает.
Тенденция идет к тому, что будет все больше и больше появляться профессиональных или статусных кодексов этики (из последних – кодекс этики полицейского), а в организациях будут разрабатываться корпоративные кодексы поведения.
Еще хотел бы добавить — несмотря на то, что кодекс этики это требование антикоррупционного законодательства, сами этические нормы носят более широкий характер и привязаны больше к понятию «порядочный человек».
Про язык написания. Кодекс этики не должен писаться бюрократическим языком, запрещающим или разрешающим работнику что-то делать. Он должен создаваться классифицирующим языком. То есть, если работник делает что-то не то, то мы (коллектив) классифицируем эти действия как не этические.
— Вопрос о ценообразовании в услугах. Как оценить, сколько стоят услуги юристов, консультантов, адвокатов и т.д. Юриста можно нанять и по 1000 рублей за час и по 10 000. Возможно и за бόльшие деньги. Первый будет дешев, но бесполезен для предприятия, консультации второго будут полезны, но очень дороги. Консультации третьих дороги, но тоже бесполезны. Каковы критерии эффективности потраченных денег?
— Ценообразование — это действительно сложная наука. Безопасников часто привлекают к оценке обоснованности цены. Во-первых, без специальных знаний и понимания методик ценообразования (их много) оценить обоснованность цены сложно. Во-вторых, любое ценообразование условно. Должны быть определены приоритеты. Приоритет – качество. Приоритет – низкая цена. Приоритет – соблюдение требований законодательства (например, антимонопольного). Приоритет – выполнение гособоронзаказа. Приоритет – максимальная прибыль.
Однажды был на экскурсии в музее, где были выставлены картины Пикассо. Экскурсовод рассказывал такой случай из жизни великого художника. Одна дама на званом вечере, где присутствовал Пикассо, попросила нарисовать ее портрет. Художник за пять минут нарисовал портрет. На вопрос дамы, сколько она должна денег за портрет, Пикассо озвучил приличную сумму. «Почему так дорого? – спросила дама, — вы же рисовали всего пять минут!» — «Да, – ответил художник, — я рисовал пять минут, но шел к этому всю жизнь». Вот такая методика по ценообразованию.
«Сколько стоят услуги юристов, консультантов, адвокатов и т.д. Юриста можно нанять и по 1000 рублей за час и по 10 000. Возможно и за большие деньги. Первый будет дешев, но бесполезен для предприятия, консультации второго будут дороги, но полезны. Консультации третьих дороги, но тоже бесполезны. Где критерии эффективности потраченных денег?»
Если кто-то отслеживает ситуацию с возбужденным уголовным делом в отношении должностных лиц Аэрофлота, то знает, что одной из претензий к ним была именно завышенная ставка в услугах внешних юристов.
Что могу порекомендовать. Единой методики ценообразования в услугах нет. В отличии ценообразовании на типовые материальные ценностей. И это действительно создает угрозу и проявления коррупции, и мошенничества, и вывода активов. Наверное, надо обращать внимание на структуру цены (особенно, если она выше среднего) и на цену этой услуги по другим договорам или для других клиентов.
Еще на что надо обращать внимание — на «задвоение» услуги. Это типичная мошенническая схема. Заключается гражданско-правовой договор с внешними юристами, оплачивается их работа, но реально всю работу выполняют штатные сотрудники за свой оклад. Обычно это предотвращается элементами контроля за реальностью выполнения работ внешними исполнителями.
— Безусловно, обучение обогащает и преподавателя различными сведеньями, которыми с ним делятся обучающиеся. Знаем, что Вам не нравится иностранное слово «кейс». А больше нравится русское словосочетание — «а вот была история». Расскажите одну из историй жизни безопасника, которая Вам запомнилась.
— Озвучу историю, рассказанную одним участником моего семинара. На семинаре обсуждали вопросы внутренних проверок и расследований, зашел разговор об инвентаризации — это тоже разновидность внутренних проверок. Вот эта история.
Офицер военно-морского флота уволился и устроился работать в коммерческую структуру, связанную с кораблями. Проводил как-то раз он инвентаризацию ГСМ (горюче-смазочных материалов). Пришел на корабль, с капитаном судна померили уровень солярки в одном из баков корабля. После этого капитан предложил чуть передохнуть и попить кофе в его каюте. Попили. Потом капитан предложил пойти померить уровень солярки в другом баке, на судне этих баков несколько. Герой нашего рассказа отказался и предложил пойти и опять померить уровень солярки в первом баке — в том, в котором уже мерили. Когда заглянули в этот первый бак, то солярки в нем не было.
Что произошло: на судне несколько автономных баков с топливом. Насосами можно перекачивать солярку из одного бака в другой. Это нужно для баланса судна при шторме. Наш отставной офицер ВМФ это знал и подловил капитана на попытке обмана. Если бы инвентаризацию проводил безопасник, не знающий эти тонкости, то капитану трюк бы удался.
Какая мораль из этой басни. Безопасники часто привлекаются как контролеры за активами или бизнес-процессами. Если вы что-то контролируете, то должны хорошо знать «матчасть», иначе вас обманут, еще и насмехаться будут. Так что учите матчасть.
Спасибо за содержательные ответы! Приглашаем Вас выступить с докладом на 10 Юбилейном Форуме «Безопасность бизнеса».
