Никита Лисенков, ICSA: «Представления о том, что такое современная корпоративная безопасность, практически ни у кого нет»

В современных реалиях бизнесу приходится непросто: высокая конкуренция на рынке, стаи «черных лебедей», затягивающиеся гайки регуляторов, уже выжатые до последней капли методики операционной эффективности. В части стратегического развития все чаще мы слышим фразу «нет эффектов – нет проектов», проходим десятки итераций и километры расчетов для старта проектов. Учимся считать в Excel, что раньше легко и непринужденно автоматизировалось и цифровалось в рамках инициатив в целях экономии.

Другими словами, все собственники и руководители бизнеса начинают крепко задумываться о новых инструментах поиска свободных денежных средств. И практически для всех откровением становится, что одним из решений могут являться процессы, методы и инструменты обеспечения корпоративной безопасности.

По данным регулярных исследований крупнейшей в мире ассоциации по борьбе с мошенничством ACFE (Association of Certified Fraud Examiners), потери от одноименных рисков составляют до 5% оборота. На практике эта статистика подтверждается крупными компаниями, где-то в большей мере, где-то в меньшей, но чаще всего отметка плавает на уровне около 2%. Данная цифра формируется только по результатам выявления неочевидных схем.

По своему личному опыту могу сказать, что еще никогда запрос к функции безопасности со стороны бизнеса не был таким актуальным, активным и заточенным на финансовые эффекты.

Такая длинная подводка к обзору двух книг, которые я бы хотел порекомендовать к прочтению, объясняется тем, что запрос есть, а представления о том, что такое современная корпоративная безопасность, практически ни у кого нет. Нет ни методичек, ни учебников и более-менее полезной литературы.

Итак:

Книги будут невероятно полезны и тем, для кого корпоративная безопасность является профессией, и тем, кто хочет (читай – должен) обезопасить свой бизнес от потерь, выстроить соответствующую корпоративную культуру, а также сформировать техническое задание на сервис этой самой безопасности.

На титульной странице первой книги предостережения авторов: «Незащищенный бизнес долго не живет. В принципе он и существовать-то сегодня не может без реализации полного цикла безопасности». Они уже в 2023 году знали, что к этому все и идет. И это не способность заглядывать в будущее – это то, с чем «безопасники» сталкиваются в своей работе, но мало кто об этом знает. Что для корпораций просто потери, для малого и среднего бизнеса – высокая вероятность банкротства. Цена ошибки очень велика, но есть традиционный русский «авось», куда страшнее рисков мошенничества проценты по кредитам и налоговая проверка.

Вторая книга начинается с цитаты Грейс Хоппер: «Кораблю безопасно в порту, но он не для этого строился», а также примечания авторов: «Написано с уважением к людям, которые доводят свои проекты до результата. К тем, кто развивается и созидает». Для непосвященного читателя эти строки не сильно сочетаются с образом «безопасника», но в этом и ценность данной книги – она написана настоящими экспертами, которые вернули в оборот компаний или не позволили утечь за их пределы сотням миллионов.

Корпоративная безопасность – это не только про заборы, шлагбаумы, камеры и охрану. Это про систему управления рисками и потерями, выстраивание прозрачных сквозных бизнес-процессов, покрытие их контролями. Но знаниями о том, какими способами могут незаметно утекать деньги и как это предотвращать (именно предотвращать, а не фиксировать счет на табло), обладает довольно небольшая группа людей. Особенностью этой группы является то, что они, в большинстве своем, носили погоны. Но только единицы из этой категории знают, что такое бизнес, менеджмент, бизнес-процессы, я уже не говорю про всевозможные показатели, аббревиатуры которых похожи на названия сложных химических соединений – OPEX – CAPEX – REVEX – FINEX – EBITDA… Про то, как работать в партнерстве с бизнес-функциями, а не с позиции уголовного кодекса. Эти единицы «перепрошились», но это очень тернистый путь.

Невозможно выстроить безопасность один раз и навсегда, ведь бизнес-процессы динамично меняются с развитием компании. Если у нас нет времени и желания разбирать процессы на атомы, то у злоумышленников все это есть. Соревнования по попытке разжиться деньгами компании и защитить их никогда не закончатся. И если вы решили ничего не делать, то автоматически признали поражение. Индикаторы потерь в первом приближении выглядят у всех плюс-минус одинаково, только при погружении уже начинают делиться на «раздолбайство» сотрудников компании и на злой умысел, обрастать факторами и сценариями рисков. Чтобы эффективно предотвращать и реагировать, нужно четко понимать, с чем имеешь дело. Все тезисы этого обзора доступно и детально объясняются в изданиях.

Я не буду пересказывать содержание книг, на это есть ряд причин:

Во-первых, прочтение позволит получить знания, которые всегда были важны, но сейчас как никогда актуальны и востребованы. Я и сам периодически перелистываю книги, чтобы «сверить часы» в решении некоторых задач.

Во-вторых, эти знания актуальные, но получить их практически нигде невозможно – «безопасники» довольно закрытые персонажи, ну или занятые, выбирайте версию сами.

В-третьих, эти знания – квинтэссенция практического опыта, как PMBOK (Project Management Body of Knowledge) в проектной деятельности. Книги написаны в стиле «просто о сложном», а яркие примеры из жизни сразу же заставляют задуматься: «А у меня такое может быть?».

Именно поэтому я просто постарался объяснить, почему книги стоит прочитать. Даже если вы посчитаете полученные знания не такими полезными, как я описал, не приступите к конкретным действиям в вашем бизнесе… Поверьте, в самый неожиданный для себя момент на совещании вы скажете что-то вроде: «Коллеги, почему в производстве перерасход сырья относительно нормативов, давайте посмотрим бизнес-процесс, может быть, наш  входной контроль качества существует только на бумаге, а может быть, это сговор с поставщиком?». И будете правы.

Никита Лисенков, член Международной ассоциации корпоративной безопасности ICSA