Например, специалист СБ получает на руки зарплату в размере 60 000 руб. Сумма налоговых, страховых и прочих отчислений составляет округленно 40 %. Итого работник стоит компании 100 000 руб. в месяц или 1 200 000 руб. в год. Чтобы определить затраты предприятия на его содержания по состоянию на июнь 1 200 000 /12 х 6 = 600 000 руб. Таким образом, для достижения Порога рентабельности показатель ЭЭ данного работника так же должен составлять 600 000 руб.

Если показатели сотрудника расположены левее Порога рентабельности, значит на сегодняшний день он получил от компании больше, чем принес ей пользы. Однако, чтобы принять решение о необходимости корректирующих мер, руководителю службы необходимо учитывать содержание и ожидаемый результат, проведенных этим специалистом мероприятий, так как эффект от работы СБ может быть отложенным во времени. Тем не менее уже к исходу первого полугодия, желательно, чтобы все члены команды показали, хотя бы нулевую рентабельность, а далее только положительную.

Текущее ранжирование целесообразно доводить до подчиненных хотя бы один раз в неделю.

Чтобы не перегружать коллектив управленческим воздействием, в некоторых компаниях используется формат еженедельного дайджеста службы безопасности, куда включаются новости службы, лучшие практики, указания и распоряжения общего характера и, конечно, результаты работы службы.

Так же по значению экономической эффективности можно анализировать динамику работы СБ год к году:

Для сравнения подразделений безопасности между собой можно использовать среднее значение ЭЭ на одного сотрудника:

В результате предлагаемых мер, образ результата должен выглядеть так:

Активности службы безопасности, не имеющие денежного выражения, такие как применение мер дисциплинарного воздействия, увольнения, подача заявлений в правоохранительные органы, возбуждение уголовных дел, осуждение сотрудников компании, либо третьих лиц, учитываются в БДКР, но на ранжирование сотрудников и подразделений не влияют. Рассматриваются, как инструменты для достижения экономического эффекта и характеристику активности работника.

Для кейсов или расследований, в результате которых внесены изменения в нормативную базу, бизнес-процессы или митигирован системный риск, если при этом невозможно точно определить его стоимость или размер предотвращенного убытка, может быть введен дополнительный признак, проставляемый вручную, который также будет учитываться при ранжировании. Например, «Значимое расследование» решением Директора по безопасности по представлению руководителя направления ЭБ, что, конечно, привнесет небольшой элемент субъективности, но станет меньшим из зол.

Подразделениям, не задействованным в проведении корпоративных расследованиях — физической охраны (ФО) и информационной безопасности (ИБ), установить прямое влияние на EBITDA не представляется возможным, так как затруднительно достоверно оценить размер потерь в случае их упразднения или неэффективной работы.

При фиксации нарушений, связанных с попытками хищения материальных средств, путем их неправомерного проноса через ограждение, либо пункты пропуска, материалы передаются в подразделение экономической безопасности для проведения расследования и оценки достаточности существующих мер по учету товарно-материальных средств, а также, при необходимости, передачи в правоохранительные органы.

Аналогично при возникновении угроз информационного характера, специалисты ИБ пресекают враждебную активность имеющимися аппаратными и программными средствами, после чего также информируют подразделение экономической безопасности.

В результате, все факты негативных и опасных действий, фиксируются в БДКР и анализируются для выявления и описания рисков, выработки рекомендаций по совершенствованию бизнес-процессов или локальной нормативной базы.

Показатели возмещенного и предотвращенного убытка, достигнутые в результате расследований по фактам, выявленным ФО или ИБ попадают в общую отчетность СБ и влияют на P&L (соотношение затрат и доходов) всей службы.

Таким образом, работа службы безопасности оценивается по показателю Экономическая эффективность, а изменение его значения год к году характеризует динамику состояния защищенности.

Управление рисками безопасности

Мы уже определили отличия между ощущением и состоянием защищенности, поняли, как оценивать их работу. То есть придали состоянию защищенности измеряемые и сравнимые числовые характеристики. Теперь необходимо устремить взгляд в будущее и научиться создавать условия, при которых вероятность наступления потерь от фрода и/или неэффективности будет минимальна.

В отличие от классического управления рисками через математическое моделирование, в этой главе затрагиваются только вопросы, связанные с угрозами безопасности, выявляемыми в результате проведенных расследований по фактам материальных или финансовых потерь, а также предпосылкам к их возникновению. Предлагаемая модель основана на методе масштабирования: от частного случая к идентификации и решению системной проблемы.

Анализ кейсов, систематизированных в Базе данных корпоративных расследований, позволяет выявить наиболее уязвимые (проблемные) бизнес-процессы или производственные участки, то есть угрозы для непрерывного и качественного функционирования организации, иначе говоря риски.

Риски бывают разные и степень их влияния на бизнес не одинакова. В зависимости от характера угроз, их можно принять, не принять или митигировать (устранить или понизить).

Как правило принимаются (то есть учитываются, без принятия мер) риски, вероятность реализации которых не значительна, либо стоимость внедрения защитных механизмов выше цены риска.

Например, при покупке (поглощении) одной компании другой, реципиент принимает риски, связанные с возможными проблемами интеграции оборудования или бизнес-процессов донора, так как это с лихвой компенсируется суммарным выигрышем от сделки.

Либо стоимость технических средств, гарантированно обеспечивающих безопасность груза при перевозке, кратно увеличивает логистические затраты, при том, что криминогенная обстановка на территории присутствия благоприятная. То есть вероятность утраты ценностей в результате противоправных действий минимальна, а перевозимое имущество не представляет интереса ни для кого, кроме получателя. В таком случае можно отказаться от вооруженной охраны, ограничившись пломбированием упаковок и контейнеров (принятие риска), либо переложить в договоре ответственность за сохранность груза на перевозчика или застраховать перемещаемое имущество (митигация риска).

Не принимаются риски, создающие угрозы дальнейшему функционированию предприятия, либо не приемлемые с точки зрения комплаенса или этических норм, принятых в компании.

Так, некоторые западные корпорации покинули российский рынок, потеряв прибыть и обнулив достигнутые успехи по захвату его доли, опасаясь санкций США, применение которых могло привести к остановке всего бизнеса (риски функционирования).

Или компания может отказаться от осуществления коммерческой деятельности в стране, где это невозможно делать без передачи взяток местным чиновникам (этические и комплаенс-риски).

Если же вероятность возникновения риска средняя или выше, а стоимость защитных мер разумна, то такие риски митигируются. То есть реализуются мероприятия, направленные создание условий, препятствующих их реализации, либо снижающие вероятность.

Степень влияния на бизнес определяется масштабом негативных последствий, наступающих вследствие реализации риска (по убыванию):

Невозможность дальнейшей деятельности

Несоблюдение требований регуляторов и/или законодательства

Финансовые потери

Сбои в оказании услуг (Value Added Services — VAS)

Отток клиентов (customer lifetime value — CLV)

Иные последствия

Для определения степени влияния выявленных угроз на бизнес, а также возможности митигации, все выявленные угрозы анализируются: