Прошу обратить Ваше внимание, что в данной статье все указанные события, примеры, ссылки являются вымышленными, все совпадения фамилий, должностных лиц, названий населенных пунктов, компаний являются случайными.
Всё ниже написанное основано на моем личном опыте и опыте моих некоторых коллег, является моим частным мнением, которое я не пытаюсь никому навязывать.
Надеюсь, что данная статья покажется кому-то интересной и будет полезной.
Более подробно все темы, связанные с построением комплексной безопасности описаны в моей книге «Комплексная безопасность компании», которую можно заказать у автора.
Все желающие могут поддержать автора донатом!
В предыдущей статье «Необходимость построения комплексной безопасности» были рассмотрены факторы влияющие на возможность создания комплексной безопасности компании (далее КБК), основные цели построения данной системы и стратегические направления построения КБК.
Первым и главным стратегическим направлением построения КБК являются создание правовых основ обеспечения безопасности, что подразумевает разработку и принятие концепции КБК, правил и стандартов обеспечения безопасности, а также разработку необходимых локально-нормативных актов (далее ЛНА), регулирующих все основные бизнес-процессы.
Одним из важнейших документов с которого нужно начать работу по формированию правильных ЛНА в компании является «Положение о порядке разработки, согласования и утверждения регламентирующих и распорядительных документов».
Данное положение закрепляет коллегиальный порядок разработки, обсуждения и согласования всеми заинтересованными службами регламентирующих документов. Обязательными службами, участвующими в разработке всех регламентирующих и распорядительных документов, должны являться СБ и юридический департамент. Принятие этого положения является крайне важным этапом функционирования системы обеспечения безопасности бизнеса.
Без данного положения нормальная организация работы в компании невозможна, это я прошел на своём опыте. Не имея правил по согласованию приказов, распоряжений, утверждений ЛНА, работа в данном направлении превращается в полный хаос. К руководителю те или иные должностные лица приносят разработанные ими распорядительные документы, аргументируют их необходимость. Руководитель их подписывает, но они не согласованы с заинтересованными должностными лицами, или, например нарушают действующее законодательство с юридической или финансовой точки зрения, либо противоречат параллельным процессам финансово-хозяйственной деятельности (далее ФХД).
После их подписания к руководителю начинают приходить другие должностные лица, объясняя, что данный документ противоречит каким-либо нормам или процессам, их пояснения для руководителя выглядят логично и начинается процесс отмены, обсуждения документа, разработка нового и т.д.
Приведу очень простой пример. В компанию принимается новый сотрудник. При рассмотрении его кандидатуры он заполняет все необходимые документы, проходит проверку СБ. Отделом персонала готовится приказ о приеме на работу, однако ни с кем из заместителей ГД данный приказ не проходит процедуру согласования. Данный приказ подписывает ГД. После подписания трудового договора с кандидатом выясняется, что в приказе неправильно указана должность сотрудника и его оклад значительно превышает первоначально согласованную сумму. В трудовом договоре так же неправильные данные. Сотрудник получает на руки трудовой договор и в последствии не желает ничего пере подписывать. Возникает вопрос «что же теперь делать?».
А ответ очень простой. Если бы проект приказа перед подписанием у ГД согласовывали бы главный бухгалтер, начальник юридического отдела и руководитель СБ, то никаких ошибок не было бы, так как каждый проверил бы своё направление.
Поэтому к ГД на подпись не должен попадать ни один документ без согласования определенных положением должностных лиц.
В этом положении должны быть закреплены следующие моменты:
· Определен порядок создания реестра необходимых в компании ЛНА. Формирование и ведение данного реестра необходимо поручить какому-то подразделению (например отдел качества менеджмента, или юридический отдел). Реестр должен быть утвержден приказом, все изменения в него должны также фиксироваться приказами, после соответствующих согласований;
· определены четкие требования к оформлению документов – шрифт, размер, отступы, межстрочные интервалы, заголовки и т.д.;
· разработана процедура начала процесса подготовки распорядительного или регламентирующего документа. Инициатор должен подготовить документ (служебная или пояснительная записка, справка и т.д.), в котором аргументированно обосновывается необходимость разработки регламентирующего документа, после согласования с необходимыми подразделениями и утверждения у генерального директора разработать проект, согласовать его в установленном порядке;
· описаны порядок согласования, регистрации, ознакомления и хранения документов.
Участие всех подразделений в процессе разработки регламентных и распорядительных документах дает понимание того, что мнение должностных лиц учтено и подготовленный документ разработан при их непосредственном участии. В этом случае процесс внедрения документа проходит значительно легче, чем правила, пусть и правильные, но разработанные без участия их будущих исполнителей.
Внедрение и неукоснительное соблюдение данного положения должно обеспечить процесс вовлеченности всех необходимых подразделений в создание документов, регламентирующих деятельность компании.
Есть еще очень важный фактор необходимости обязательной коллегиальной процедуры согласования всех распорядительных документов в компании, в том числе в СБ. При непосредственном участии в согласовании служба безопасности будет всегда знать, что происходит в компании, до того, как принято решение (т.е. влиять на принятие решения с точки зрения обеспечения безопасности), а не получая информацию постфактум.
Кроме данного регламента в компании должны быть разработаны и внедрены другие локально-нормативные акты, описывающие деятельность подразделений, все основные процессы и направления финансово-хозяйственной деятельности.
Часто руководители различных уровней спрашивают – а сколько регламентов и положений необходимо? В основном услышав такой вопрос можно с уверенностью говорить о том, что должностное лицо, его задавшее либо не имеет навыков руководящей работы, либо категорически против наведения порядка в компании по разным причинам. Основная из них – использование отсутствия контроля за своей деятельностью.
Тем не менее отвечая на вопрос о необходимом количестве регламентирующих документов, скажу, что их должно быть и немного и не мало, а достаточное количество для организации всех основных бизнес-процессов, происходящих в компании.
В целях определения необходимого количества регламентирующих документов в компании должен быть создан реестр ЛНА, утвержденных руководством и закрепленный приказом. Все изменения должны вносится коллегиально, в процессе обсуждения и утверждаться вновь приказом.
Для СБ есть перечень наиболее важных регламентирующих документов, без которых невозможно обеспечить безопасность бизнеса.
Возникает закономерный вопрос – кто эти документы будет разрабатывать. На первоначальном этапе наиболее важные разрабатывает самостоятельно руководитель СБ, привлекая по необходимости различных специалистов. Постепенно необходимо привлекать к данному процессу все заинтересованные службы, но контроль за обобщением и финальной редакцией нужно держать в своих руках.
Для этого необходимо создать комитет по разработке ЛНА, включить туда основных должностных лиц – руководителей финансового, кадрового и юридического направления, постараться сделать из них лояльных процессам обеспечения безопасности людей. По необходимости в данный комитет нужно привлекать специалистов, обладающих нужными компетенциями.
Конечно, это очень трудозатратный процесс и многие безопасники не очень хотят этим заниматься, но без погружения в процесс разработки ЛНА результат не будет достигнут.
Исходя из своего опыта считаю, что обеспечить безопасность компании на должном уровне без разработки, внедрения и безусловного соблюдения ЛНА абсолютно невозможно.
Для того, чтобы разработать регламентирующий документ хочу поделится своим опытом, как это правильно, качественно и быстро сделать.
Во-первых, нужно очень подробно изучить процесс. На основании полученных сведений составить таблицу, где в первом столбце описать по пунктам «как есть». При необходимости максимально подробно уточняем у задействованных в процессе должностных лиц все этапы процесса.
Во втором столбце напротив каждого пункта пишем, как «хотим» получить. Для того, чтобы получить «как хотим», нужно оценить все этапы с точки зрения имеющихся рисков, возможности обеспечения контрольных мероприятий.
В третьем столбце пишем, что для этого нужно сделать.
Таким образом получаем фактически план написания регламентирующего документа.
Рассмотрим примерный перечень документов обязательно необходимых для обеспечения КБК.
Сразу хочу сказать, что это лишь примеры, как можно разработать и описать конкретный процесс. В каждой компании разрабатываются свои документы, главное, чтобы они отражали описание реальных процедур, не были формальными, иначе работники компании будут воспринимать их как ненужные и не обязательные к исполнению.
· Концепция обеспечения безопасности - утверждается Собственником.
· Правила и стандарты обеспечения безопасности - утверждается Собственником, предоставляется ГД для понимания роли и места СБ, мероприятий проводимых для обеспечения КБК. Данный документ является примерным планом работы СБ, должен подробно описывать все основные контрольно-профилактические мероприятия, осуществляемые СБ по каждому из направлений КБК – физической, кадровой, экономической и информационной безопасности.
· Положение о порядке внесения предложений, согласования и регистрации приказов, распоряжений, ЛНА.
· Положение о пропускном и внутриобъектовом режиме.
· Регламент по проведению служебных проверок.
· Регламент подбора персонала.
· Положение о медосмотрах.
· Положение о сохранности персональных данных.
· Положение о коммерческой тайне.
· Правила внутреннего трудового распорядка (ПВТР).
· Положение о распределения обязанностей по охране труда.
· Положение о премировании сотрудников.
· Положение о служебных командировках.
· Положение о порядке заключения договоров, согласовании, организации учёта и контроля исполнения договорных обязательств.
· Регламент по управлению рисками при работе с контрагентами.
· Регламент о тендерной работе.
· Регламента о порядке ценообразования продукции компании.
· Регламент поступления, учета, хранения и перемещения ТМЦ.
· Регламент работы с ДЗ/ПДЗ.
· Регламент ремонта автотранспорта.
· Приказ о закреплении транспортных средств за водителями.
· Приказ об организации приёма-передачи автотранспорта по акту.
· Приказ о закреплении норм расхода ГСМ.
· Регламент пользования топливными картами.
· Приказ о разграничении прав доступа в 1С.
· Положение по хранению ЭЦП.
· Регламент осуществления платежей.
· Положение о работе бухгалтерии.
· Положение об инвентаризации.
· Положение о выдаче д/с под отчет.
· Положение о должной осмотрительности.
· Приказ о закреплении, использовании и хранении печатей.
· Регламент о внутренних правилах информационной безопасности.
· Приказ о порядке хранения и эксплуатации средств криптографической защиты информации (СКЗИ).
· Регламент предоставления корпоративной мобильной связи.
· Регламент по пожарной безопасности.
Как уже говорилось выше, этот перечень достаточно условный, в него в зависимости от направлений деятельности компании необходимо добавлять важные регламентирующие документы, необходимые для организации работы.
Кроме подготовки регламентирующих документов очень важно обеспечить процесс ознакомления под роспись с ними сотрудников и обеспечить хранение документов и листов ознакомления.
Руководитель СБ должен обеспечить контроль за процессом ознакомления сотрудников с регламентирующими документами. Оригиналы листов ознакомлений должны хранится в отделе кадров в личных делах сотрудников. Копии (желательно в виде сканов) наиболее важных с точки зрения обеспечения безопасности листов ознакомлений хранятся в СБ.
Оригиналы регламентирующих документов должны хранится в подразделении, назначенном ответственным за ведение реестра ЛНА, его разработку, хранение ЛНА (например, в юридическом подразделении, в подразделении менеджмента качества или других).
Ежегодно в конце года, руководитель СБ должен организовать проверку актуальности регламентирующих документов и в случае необходимости инициировать их переработку.
Необходимо понимать, что даже при наличии всех необходимых регламентирующих документов, не обязательно, что в компании будут соблюдаться утвержденные процедуры.
Не соблюдение сотрудниками компании утвержденных регламентирующих документов создает атмосферу вседозволенности, рождает понимание того, что за нарушение действующих правил ничего не будет и подрывает авторитет законодательной и исполнительной власти (в лице собственника и руководителей компании) в целом.
В этой связи крайне важно разработать комплекс мер, направленных на оценку соблюдения ЛНА в компании и принуждению должностных лиц к выполнению утвержденных процедур.
В компании должно быть подразделение, за которым закреплена функция контроля за исполнением должностными лицами регламентирующих документов. Это может быть только СБ, либо совместная работа СБ и еще какого-то контролирующего подразделения (либо нескольких). Например, отдел внутреннего аудита, контрольно-ревизионный отдел и т.д.
При выявлении случаев нарушения действующего регламентирующего документа в обязательном порядке должна проводится служебная проверка, в ходе которой необходимо определить причины, способствующие нарушению, степень виновности должностных лиц и меру ответственности. При этом очень важно, чтобы ни одно нарушение ЛНА не оставалось без должного реагирования руководства компании.
Только понимание сотрудниками того, что в компании осуществляется постоянный контроль за соблюдением утвержденных правил и неотвратимости наступления наказания за их нарушение, позволит обеспечить соблюдение действующих регламентов.
В следующей статье мы рассмотрим порядок проведения служебных проверок, их влияние на построение системы безопасности.