Прочитал статью «И снова про KPI для безопасников» уважаемого Алексея Швецкого, решил взять на себя смелость побыть его соавтором и немного расширить и углубить тему затронутую в статье. Для того чтобы тема целеполагания стала понятна и тем работникам служб безопасности которые пока не сталкивались с вопросами разработки КПЭ, но может пригодиться при карьерном росте, а также тем кто уже сталкивался с этими ужасными терминами Norton & Kaplan, BSC, KPI и S.M.A.R.T.
Для удобства буду использовать русский аналог KPI (Key Performance Indicate) - КПЭ (Ключевой Показатель Эффективности), что является практически дословным переводом.
К сожалению, во многих организациях подразделения ответственные за развитие целеполагания в организации должным образом не разъясняют не только принципы построения системы, но и даже зачем это внедряется в организации. Аналогично происходило внедрение систем BSC, KPI кстати является ее составной частью, затем все начали танцевать модный танец под названием Agile. А если инструмент не приносит пользы, то он становится средством коррупции. Сами знаете какой уровень дохода у тех, кто бегает по офису с умным видом и проводит бесконечные презентации. При этом достаточная часть персонала организации и многих руководителей на начальном этапе вообще ничего не понимают. Но видя какой гешефт с этого могли бы получать начинают пытаться внедрить это у себя в департаменте/управлении/службе порой не разобравшись в вопросе. Попробуем разобраться вместе.
Методика современного стратегического планирования рекомендует производить постановку целей используя принцип SMART. Для удобства описания того что сие значит обратимся к интернету и вот что там написано:
SMART-цель — это метод постановки целей и задач, согласно которому они должны быть конкретными, измеримыми, достижимыми, значимыми и ограниченными во времени.
Аббревиатура означает пять критериев:
S (specific) — конкретная. Цель должна быть сформулирована так, чтобы каждый понимал её одинаково и не пришлось углубляться в детали.
M (measurable) — измеримая. Результат должен иметь критерии для оценки — KPI. Например, увеличить количество продаж на 20%.
A (achievable) — достижимая. Цель должна быть реалистичной, учитывая доступные ресурсы, время и способности.
R (relevant) — актуальная. Цель должна соответствовать общим целям и стратегии компании, продукта или проекта.
T (time bound) — ограниченная во времени. У цели должен быть определённый срок завершения.
Руководствуясь указанным принципом всегда можно подготовить и описать необходимый КПЭ. При это необходимо понимать, что цель должна быть направлена на достижение чего-либо, а не на производство стандартных действий (выполнение задачи). Зачастую неумение различить цель и задачу приводит к проблемам при составлении КПЭ и последующего его применения, в том числе и для мотивации работников.
Чтобы понять как цель и задача различаются, я обычно привожу такой пример:
- цель верхнего уровня: на олимпиаде 2028 года занять призовое место не ниже 2-го в соревнованиях по стрельбе из лука;
- цель нижнего уровня: на отборочных соревнованиях (спартакиада народов СССР) занять первое место в соревнованиях по стрельбе из лука для включения в состав олимпийской сборной;
- задачи:
- ежедневно с 01.03.2025 до начала отборочных соревнований проводить 2 тренировки по стрельбе используя не менее 100 стрел за тренировку;
- еженедельно с 01.03.2025 до начала отборочных соревнований проходить медицинский осмотр у спортивного врача…
- и т.п.
В описанных целях есть:
- конкретика «занять призовое место не ниже 2-го»;
- измеримость «занять призовое место не ниже 2-го», т.е. призовое место ниже второго – цель не достигнута, 2 и 1 достигнута (тут еще можно дополнить КПЭ методикой 2 место – цель выполнена на 80%, 1 место – 100%);
- достижимая – да я мастер спорта по стрельбе из лука неоднократный чемпион СССР, значит если я продолжу тренироваться, то смогу выиграть олимпиаду;
- актуальная – да мне и моей стране нужны олимпийские медали (финансовый результат на лицо))));
- измерима по времени – указана конкретная олимпиада 2028 года, а не 2032 или 2036.
Проще говоря, цель – попасть в «яблочко» в конкретный момент времени, а задача – постоянно тренироваться, т.е. выполнять одни и те же конкретные действия. При этом, спортсмен помимо задач ежедневных тренировок может поставить себе цели начального уровня – достигать определенного результаты в конкретные отрезки времени. К примеру, увеличивать количество подтягиваний на перекладине на 2 раза каждую неделю. Это нижнеуровневая цель, а продолжать ежедневно тренироваться останется задачей.
Становится понятно, что цели ставятся для достижения какого-то определенного результата. В коммерческих организациях основной результат это получение прибыли, т.е. финансовый. На получение прибыли и ориентируются все подразделения организации. Естественно, коммерческому блоку достаточно просто составить и описать свои цели. Тут огромное поле для фантазии - нарастить продажи, увеличить доходы, разработать и внедрить новый прибыльный продукт, снизить расходы на закупку комплектующих и т.п. Но как быть блоку сервисных (обеспечивающих) подразделений? - Подразделения безопасности должны быть включены не только в процессы сокращения расходов (противодействие хищениям и защита от наступления иного ущерба), но и в процессах получения прибыли. К примеру, взыскание задолженности или снижение времени на принятие решения по взаимодействию с поставщиками, заказчиками, а также возможность приема ключевых сотрудников. В принципе, даже поддержание определенного высокого уровня отдельного положительного индикатора тоже можно считать целью, если благодаря ей улучшается либо цель верхнего уровня, либо достигается партнерская.
Немного разобравшись с теорией, перейдем к практическим рекомендациям по разработке КПЭ для подразделений безопасности.
Как правило, структуры безопасности выполняют 5 основных функций, которые в свою очередь сами подразделяются на различные направления деятельности:
- обеспечение безопасности объектов, материальных ценностей и персонала (физическая безопасность на объектах организации);
- экономическая безопасность – противодействие внешнему и внутреннему мошенничеству, проведение служебных проверок и расследований для выявления причин и условий повлекших инцидент, установления виновных лиц и выработки рекомендаций для изменения процессов организации (не только СБ) для недопущения возникновения инцидентов в будущем;
- возмещение ущерба – взыскание дебиторской задолженности в рамках действующего законодательства как собственными силами, так и с привлечением государственных органов;
- информационная безопасность – здесь и защита от внешнего воздействия на IT-инфраструктуру организации, и предотвращение утечек информации, и мониторинг собственных систем и много чего еще;
- внутренняя безопасность и формирование культуры безопасности, работа с кадрами (проверка кандидатов и их мониторинг), участие в процедурах закупок (противодействие откатам) и т.п.
Перед тем как составлять собственные КПЭ СБ, я рекомендовал бы составить список выполняемых и перспективных процессов безопасности исходя из существующих угроз активам организации. После определения угроз вырабатываются меры по их предотвращению или снижению негативного воздействия. Довольно часто СБ своими действиями влияет на процессную, HR и финансовую перспективы развития организации. Исходя из этих трех перспектив и следует разрабатывать необходимые внутренние процессы и мероприятия СБ. В любом случае все сводится к достижению финансового результата напрямую или косвенно.
Для удобства распишем (в ближайшем приближении), процессы по противодействию хищениям. Имеем угрозу – хищение имущества и денежных средств организации на охраняемых объектах. Хищения могут осуществляться как тайно, так и в открытую. Как третьими лицами, в том числе клиентами, так и работниками организации в рабочее или нерабочее время. Определяем на что служба безопасности может повлиять.
Персонал:
- проверка кандидатов при приеме на работу;
- проведение тренингов, обучающих семинаров с работниками, тестирование;
- проведение контрольно-профилактических мероприятий.
Процессы:
- доработка действующих внутренних процессов/ВНД СБ и организации, систематическая их актуализация;
- разработка новых методов и способов борьбы с хищениями;
- автоматизация;
- взаимодействие с подрядными охранными и обслуживающими ТСБ организациями.
Финансы:
- проведение служебных проверок и расследований;
- возмещение причиненного ущерба.
В итоге получилось что только по одному из направлений деятельности СБ есть минимум 8 процессов в рамках которых сотрудники службы безопасности могут влиять на глобальную цель «Снижение уровня хищений», которая в свою очередь напрямую связана со стратегической целью организации «Достижение финансового результата». Основываясь на списке процессов, без особого труда можно сформировать следующие цели:
- изменение/доработка используемых курсов/тренингов и тестов, их дальнейшая актуализация в т.ч. при выявлении новых способов хищений;
- повышение качества проверок кандидатов;
- улучшение качества бизнес-процессов;
- снижение времени реагирования охраны объектов на возникающие угрозы;
- модернизация технических средств безопасности;
- повышение качества служебных проверок и расследований;
- возмещение причиненного ущерба.
При разработке и постановке целей для подразделений и работников СБ достаточно важно определиться с рассчитываемыми параметрами. В чем измерять наш КПЭ в штуках, рублях или днях. При измерении в штуках, рублях и тоннах, как правило измеряется отношение целевого значения к определенному эталонному. При измерении в днях (сроках) подразумевается срок достижения какого-либо значения или наступления события к определенной критической дате.
По многим направлениям безопасности, измерение в штуках - инцидентах достаточно удобно для расчета КПЭ. Зафиксированный инцидент - это та единица которая объединят в себе как ущерб в размере 10К руб., так и 10М руб. На первый взгляд может показаться что величины несоизмеримы. Но мы же с вами предотвращаем хищения и не важно какого они размера. Мы должны закрыть как таковую вообще возможность вывести за внешний контур организации материальные ценности. Если работник организации подготовлен вами, правильно выявлять попытку мошенничества, то и у условного ИП Мошененко не будет возможности подсунуть вам поддельный договор или паспорт. У условного Крадунка О.Т. не будет возможности поживиться ценностями организации и скрыться. Так и Жулико Бандито и Де Ля Воро Гангстерито не смогут вынести под пальто пачку масла и кофемолку, потому что камера не просто работала, а внедренная в нее функция распознавания лиц и движений зафиксировала инцидент и подала сигнал оператору. Как результат СБ себе в копилку записала: «За отчетный период зафиксировано 2 инцидента безопасности, предотвращено 2 инцидента безопасности (попытка выноса пачки масла и попытка выноса кофемолки на сумму ХХХ).»
Также инцидентами удобно измерять и некоторые параметры работы по направлению информационной безопасности.
Предлагаю на гипотетическом примере разобрать 3 КПЭ для подразделений безопасности. Допустим в настоящий момент у организации практически отсутствуют хищения материальных ценностей с охраняемых объектов, но из-за действий контрагентов выросла дебиторская задолженность. Повлиять на ее снижение можно двумя способами: взыскание существующей и предотвращение ее возникновения в будущем.
Рассмотрим эту ситуацию поподробнее, нам она позволит оценить необходимости внедрения или модификации того или иного КПЭ. Резкое снижение уровня хищений МЦ организации было достигнуто благодаря введению целевого показателя для отдела технических средств безопасности, связанным с работоспособностью камер охранного телевидения. На первый взгляд самый простой это отношение времени работоспособности камер к общему времени необходимого функционирования или всего времени за отчетный период. В принципе это просто и правильно. Но имеет ли этот КПЭ отношение к финансовому результату? Ответ нет.
На самом деле от того, что камера работает 100% времени эффекта для расчета качества безопасности объекта и уровня хищений практически никакого, гораздо важнее считать зафиксированные и пропущенные камерой (или оператором), инциденты, по которым возможно проведение служебных проверок и принятие управленческих решений направленных на предотвращение хищений. Рассмотрим поподробнее, допустим камера исправно работала в течении февраля 2025 года 672 часа, т.е. КПЭ достигнут на 100%. Но за эти 28 суток через зону контроля указанной камеры совершено 10 незаконных выносов материальных ценностей организации. А если бы КПЭ был бы сформулирован так: «В период с 1 по 28 февраля 2025 года достичь уровня предотвращения инцидентов безопасности в зоне действия камеры №17 до 90% (текущий уровень 70%)». Метод расчета - количество зафиксированных камерой инцидентов к общему количеству инцидентов.
Таким образом отдел ТСБ не только стимулируется на поддержание рабочего состояния камеры, но и на включение мозгов на решение задачи по улучшению работы контрольных устройств. Чтоб было так: заходит враг - И электрический кулак Ему по роже!
Вернемся к нашей ситуации. Так как КПЭ по направлению ТСО у нас внедрен, достигнут и приносит свои результаты, то мы можем его либо убрать из своей страткарты, либо модифицировать. После достижения определенного необходимого уровня КПЭ может быть направлен на удержание этого необходимого уровня, простите за тавтологию. В этом случае КПЭ будет выглядеть следующим образом:
Наименование цели – Удержание/недопущение снижения уровня предотвращения инцидентов безопасности в зоне ответственности камер охранного телевидения ниже 90%.
Расчет – отношение количества зафиксированных камерой инцидентов к общему количеству инцидентов за календарный год.
Вес цели – 10%
Переходим к следующему актуальному КПЭ – снижению уровня дебиторской задолженности. Можно ввести в систему оценки СБ именно этот один КПЭ. Но только в таком случае упускается возможность влиять на развитие процессов взыскания и предотвращения отдельно. Если одно из направлений позволит быстро достичь результата по снижению уровня ДЗ, то исполнитель целиком сконцентрируется исключительно на одном виде деятельности. Ранее достаточно часто приходилось иметь дело с такой постановкой вопроса (больше касается банков): «у заемщика положительная кредитная история, работает в устойчивом секторе экономики имеет стабильный доход, но была судимость в 2010 году, безопасность на этом основании заблокировала предоставление ему кредита на покупку автомобиля с первоначальным взносом 20%». СБ пишет себе в заслугу предотвращение на сумму кредита, а председатель правления банка никак не может понять почему у него «лучшая» безопасность в стране, а у банка отрицательный финрез.
Поэтому КПЭ по предотвращению желательно все-таки рассматривать отдельно от возмещения и в разрезе количества зафиксированных инцидентов. Да и оперировать цифрами фактического ущерба порой опасно. Поясню, допустим за отчетный период произошло 5 инцидентов безопасности из них 4 на суммы 100.000 руб, один на сумму 1.000.000 руб. При этом как раз инцидент с «лямом» и был негативным и за необходимый период времени не был возвращен. Таким образом при расчете КПЭ исходя из количества инцидентов результат – 80%, а при расчете исходя из денег – 40%.
Что касается КПЭ по возмещению, то конечно основным и лежащим на поверхности КПЭ является – количество денежных средств, возмещенных в ходе работы по проблемной задолженности (ПЗ) к общему количеству задолженности. Но на самом деле вопрос достаточно сложен тем, что ПЗ не является величиной постоянной. Возникает по различным причинам, переходит из стадии в стадию. И в каждом случае имеет свои мотивационные параметры. Вопрос мотивации взыскателей, это тема не одной развернутой статьи, тем более поста в соцсети, поэтому сегодня на нем останавливаться не буду. Но готов к обсуждению.
Алексей Швецкий в своей статье обратил внимание на необходимость своевременного реагирования СБ на запросы бизнеса, предложив КПЭ - «Удовлетворенность бизнес-заказчика уровнем сервиса» это очень важно в организации нашей работы. Но если мы добавим в КПЭ четкие критерии и сроки, то и бизнесу, и СБ будет легче оценивать этот показатель. Допустим, что это запрос на организацию пропускного режима и системы охранного телевидения на новом складе. Что будет результатом, удовлетворяющим бизнес-юнит - фактическое окончание работ по монтажу систем, ввод в строй или подготовка технического задания со служебной запиской на имя генерального директора с просьбой о выделении средств на закупку и монтаж оборудования и введения в штатное расписание СБ позиции оператора видеонаблюдения? Давайте считать, что это будет служебка, так проще. Тогда один из критериев по удовлетворённости будет количество подписанных ГД СЗ на закупку и монтаж новых систем к общему количеству запросов на установку систем на новых объектах бизнеса, естественно с указанием сроков подготовки СЗ. И вот в этом случае уже никто не скажет, что СБ несвоевременно реагирует на запросы бизнеса. Также можно внедрить согласованный с бизнесом показатель – «улучшение качества бизнес процессов». В этом случае можно доработать действующие процессы отдельно по направлениям/продуктам по выявленным уязвимостям. Расчет: до определенного срока действующие процессы отдельно по направлениям/продуктам доработаны - 100%, если нет - 0% (владелец продукта согласен с предлагаемыми изменениями).
Я постарался сделать небольшой теоретический экскурс в тему целеполагания. Попытался на конкретных примерах показать как лучше сформировать и составить КПЭ. После долгих лет погружения в систему BSC могу сделать только один вывод - нет возможности при помощи одного-двух универсальных показателей эффективности оценить работу службы безопасности. Как и невозможно стандартным набором показателей стимулировать развитие процессов СБ. В том и суть управления, что в зависимости от ситуации выбирается тот или иной приоритетный показатель. В этом ваше искусство управления как руководителей. Нет ничего незыблемого, надо постоянно меняться. Необходимо постоянно разбираться в хитросплетениях и связях показателей между собой, при необходимости менять их или модернизировать. Никто не запрещает руководителю СБ использовать различные внутренние КПЭ для улучшения качества работы подразделений, влияющих на уровень подготовки работников, уровень подготовки безопасниками работников бизнеса, на качество взаимодействия между подразделениями СБ.
По моему субъективному мнению, правильно подобранный KPI творит чудеса… Но это уже тема другого опуса.
Автор статьи Алексей Пименов эксперт в сфере банковской безопасности; Методолог; Аналитик.
От лица канала СБПроБизнес благодарим Алексея Пименова за эту статью. Уверены, что она будет полезной для подписчиков!
Больше информации о безопасности бизнеса на нашем ТГ канале СБПроБизнес https://t.me/sbprobiz