Прошу обратить Ваше внимание, что в данной статье все указанные события, примеры, ссылки являются вымышленными, все совпадения фамилий, должностных лиц, названий населенных пунктов, компаний являются случайными.
Всё ниже написанное основано на моем личном опыте и опыте моих некоторых коллег, является моим частным мнением, которое я не пытаюсь никому навязывать.
Надеюсь, что данная статья покажется кому-то интересной и будет полезной.
Более подробно все темы, связанные с построением комплексной безопасности описаны в моей книге «Комплексная безопасность компании», которую можно заказать у автора.
Все желающие могут поддержать автора донатом!
Если статья понравилась – поставьте ЛАЙК!
Для обеспечения безопасности любого направления важно не только разработать определенные правила, но и неукоснительно их соблюдать.
В целях обеспечения контроля за работой в данном направлении, необходимо регулярно осуществлять проверки соблюдения действующих регламентов и положений кадровым подразделением, порядок ведения и хранения документации.
Основные направления, подлежащие регулярной проверке и контролю следующие:
· порядок подбора и оформление персонала;
В предыдущей статье мы уже подробно рассматривали порядок подбора персонала. Так как основным держателем данного процесса является кадровое подразделение, важно обеспечить контроль за безусловным соблюдением утвержденного в компании регламента о «Подборе, подготовки и обучения персонала».
Для обеспечения контроля за данным процессом кадровое подразделение должно согласно регламенту обеспечить ведение следующих документов:
- реестр учета поступивших заявок на подбор персонала;
- реестр подобранных кандидатов, с указанием при помощи какого ресурса осуществлен подбор;
- накопительное дело с предоставленными документами и анкетами, а также с результатами проведенного тестирований.
Кроме того, необходимо оценить какие ресурсу используются кадрами для подбора персонала и оценить их эффективность (стоимость ресурса, количество и качество подобранных с его помощью кандидатов).
На основании имеющихся данных необходимо сделать вывод о качестве подбора персонала в компании и эффективности работы должностных лиц на данном направлении.
Еще одно очень важное направление – соблюдение порядка ознакомления с необходимыми ЛНА.
Для обеспечения ознакомления с регламентирующими документами по всем должностям должен быть утвержденный приказом список ЛНА, с которыми сотруднику необходимо ознакомится.
Лист ознакомления должен находится либо в личном деле (желательно), либо в наблюдательном деле по ознакомлению с ЛНА.
· согласование приказов о приеме на работу сотрудников со всеми необходимыми службами;
Согласование в СБ и других службах всех кадровых приказов (как и любых других) является важнейшим условием обеспечения безопасности компании.
В этих целях необходимо регулярно сверять всех принятых на работу сотрудников с реестром проверенных кандидатов, который ведется в СБ.
Кроме того, необходимо проверять книгу регистрации приказов по личному составу и хранение оригиналов данных приказов, проверяя их на предмет наличия всех необходимых согласований.
· ведение, оформление и хранение личных дел сотрудников;
Формирование и хранение личных дел сотрудников с максимально полным комплектом документов является важной составляющей процесса обеспечения кадровой безопасности компании.
Во-первых, документы, находящиеся в личном деле, позволяют сохранить историю приема сотрудника на работу, процесс его приема, тестирования, проверки, прохождения медосмотра.
Во-вторых, при возникновении необходимости проверочных мероприятий в отношении сотрудника, СБ имеет возможность быстро и не привлекая внимания получить в распоряжение копии всех необходимых документов.
· своевременное заключение договоров о материальной ответственности, а также обеспечение приема-пересдачи ТМЦ при увольнении, отпуске, временном отсутствии материально-ответственного лица;
В целях обеспечения сохранности ТМЦ необходимо своевременное (при приеме на работу) заключение договоров о материальной ответственности, а также при увольнении либо уходе в отпуск сотрудника обеспечение приема-передачи ТМЦ.
Чтобы сотрудники отдела кадров имели информацию о том с какими вновь принятыми (переведенными из других подразделений) необходимо заключать договора о материальной ответственности нужно утвердить приказом номенклатурный список материально-ответственных лиц.
Для контроля за работой с материально-ответственными лицами сотрудники СБ должны регулярно проверять работу в данном направлении.
· организация своевременного прохождения медосмотров при приеме на работу сотрудников, а также регулярных медосмотров для персонала (при необходимости);
Организация прохождения медосмотров компании должно соответствовать требованиям действующего законодательства.
Контроль СБ за данным процессом необходимо обеспечить по двум направлениям:
1. Соблюдение уровня прохождения медосмотра, соответствующего штатной должности.
Для всех штатных должностей необходимо закрепить приказом достаточно-необходимый уровень прохождения медосмотра. В подготовке приказа должен участвовать специалист по охране труда и технике безопасности. В этом же приказе необходимо определить периодичность прохождения медосмотров действующими сотрудниками, основываясь на требования законодательства.
При отсутствии категорий прохождения медосмотра появляются возможности у должностных лиц к осуществлению различных махинаций.
Так в одной компании все сотрудники направлялись на прохождение медосмотра по категории «монтажник-высотник», так как это максимальная стоимость медосмотра. Все это делалось для получения отката от коммерческого медучреждения. Понятно, что, например медосмотр для бухгалтера и монтажника-высотника это разные требования. Цена отличается почти в 3 раза.
Также необходимо контролировать соблюдение сроков прохождения медосмотров действующими сотрудниками. Так, например в пищевой промышленности несвоевременное прохождение регулярного медосмотра влечет серьёзные санкции вплоть до приостановки деятельности предприятия.
2. Выбор медицинского учреждения для организации проведения медосмотров кандидатов и сотрудников.
В целях обеспечения наиболее выгодных условий работы с медицинскими организациями, необходимо регулярно (например, 1 раз в год) мониторить рыночные цены проведения медосмотров, оценивать качество и удобство предоставляемых услуг и при необходимости проводить тендерные торги для выбора наиболее выгодного для компании поставщика данной услуги.
ПРОФИЛАКТИЧЕСКАЯ РАБОТА С ПЕРСОНАЛОМ
Обеспечение принятия на работу сотрудника, соответствующего всем предъявляемым требованиям, не гарантирует, что в последствии данный сотрудник не создаст угроз безопасности и не причинит ущерба компании.
В этой связи СБ необходимо проводить профилактические мероприятия, направленные на выявление предпосылок возникновения угроз нанесения ущерба компании от персонала.
Для организации наиболее эффективных профилактических мероприятий необходимо выработать классификацию по группам риска. К примеру, группы высокого, среднего и низкого риска. С учетом специфики конкретной компании состав данных групп может меняться, но основные категории специалистов в целом одинаковы.
Группа высокого риска – к ним можно отнести топ-менеджеров, сотрудников отдела закупок, IT-отдела, бухгалтерии, отдела продаж, должностные лица в отношении которых получена информация, требующая проверки.
Группа среднего риска – материально-ответственные лица, сотрудники производственного направления, юридического отдела, маркетинга, клиентского сервиса, кадрового подразделения.
Группа низкого риска – все остальные подразделения.
Исходя из оценки рисков сотрудников того или иного подразделения и направляются основные усилия СБ по профилактике и противодействию причинения ущерба компании.
Можно разделить всю профилактическую работу с персоналом по трем основным направлениям – открытые (регламентные), специальные и скрытые.
1. Открытые (регламентные).
Одним из основных сдерживающих факторов для лиц склонных к различным противоправным действиям является прежде всего неотвратимость наказания. Такие сотрудники должны четко понимать, что все случаи нарушения действующих регламентирующих документов, трудовой дисциплины и причинения ущерба компании будут расследованы, к виновным применены все меры, предусмотренные действующим законодательством - дисциплинарная, административная или уголовная ответственность. При этом никаких исключений ни для каких категорий сотрудников делать категорически нельзя. Хотя, конечно, при выявлении разного рода нарушений руководители очень часто говорят, что без данного сотрудника работать они не смогут, компания остановится и т.д.
СБ в этих случаях должна проявлять твердость и решительность, иначе в компании воцарится атмосфера вседозволенности и безнаказанности.
Приведу такой пример. На крупном предприятия сотрудники регулярно находились на рабочем месте в состоянии алкогольного опьянения. После прихода нового руководителя СБ во всех случаях выявления сотрудников, находящихся в состоянии опьянения вызывался наряд полиции, проводилось медосвидетельствование, и данный сотрудник увольнялся по статье. За первый год было уволено более 50 человек. На следующий год случаи стали единичные (не более 5), никаких исключений ни для кого не делалось. На третий год охрана выявляет пьяного водителя, который передвигался на автомобиле по территории предприятия. Была запущена стандартная процедура. Однако за данного сотрудника попросил один из руководителей. Сотрудник не был уволен.
Через неделю было выявлено более 15 случаев употребления сотрудниками спиртного на рабочем месте (хотя за последние два года всего выявлялось не более 5 в год), так как если все видят послабление в отношении одного сотрудника тут же работа системы нарушается.
В итоге через 2 недели данный водитель напился за рулём служебного грузового автомобиля в рейсе и был задержан ГИБДД в тяжёлой форме опьянения. Пришлось по новой вводить еще более строгие меры контроля.
Таких примеров можно привести великое множество, поэтому важнейшей составляющей профилактики различного рода нарушений персоналом, является контроль обязательного соблюдения всех ЛНА, действующих в компании.
2. Специальные.
Специальными мероприятия так и называются, потому что при их организации используются различные специальные методы и формы, часто с использованием различного инженерно-технического оборудования.
Специальные мероприятия направлены на выявление различного рода скрытых правонарушений персоналом компании, попыток хищений и других форм нанесения ущерба.
К данным мероприятиям можно отнести следующие контрольные процедуры:
- системы аудио-видеонаблюдения, СКУД;
- различные технические мероприятия ограничительного характера (например невозможность копирования информации на съемные носители).
- досмотровые мероприятия при входе (выходе) с территории компании, в том числе с использованием различных технических средств;
- различные контрольные процедуры при движении ТМЦ, например контрольное взвешивание, пересчет продукции, автоматизированная проверка выписанных сопроводительных документов (например, с использованием штрихкодов);
- разработанные контрольные карты, в которых должностные лица после выполнения необходимых технологических процедур, обязаны поставить отметки;
- плановые и внеплановые ревизии и инвентаризации.
Проведение данных мероприятий имеет важное профилактическое значение, так как сотрудники видят и понимают, что в компании осуществляется работа, направленная на пресечение и профилактику нанесения ущерба.
Вместе с тем сотрудники, имеющие цель на нанесение ущерба компании, быстро адаптируются к применяемым формам и методам данных мероприятий, придумывая различные способа их обхода, поэтому необходимо применение форм и методов контроля, о которых сотрудники не имеют информации.
3. Скрытые.
Скрытые формы профилактических мероприятий показывают большую эффективность как по выявлению предпосылок к нанесению ущерба компании, так и уже свершившимся фактам, так как лицам, совершающим действия, направленные на причинение ущерба о данных мероприятиях ничего не известно и обойти их они соответственно не могут.
К скрытым формам можно отнести анализ и сбор информации о должностных лицах, получение отчетов о риск-инцидентах систем DLP и SIEM, анализ контактов персонала со сторонними организациями при проведении тендерных торгов и другие методы и формы анализа и контроля о которых персоналу не известно.
АНАЛИТИЧЕСКАЯ РАБОТА СБ
ПРИ ОБЕСПЕЧЕНИИ КАДРОВОЙ БЕЗОПАСНОСТИ.
Выше мы рассмотрели формы и методы работы СБ по обеспечению кадровой безопасности компании. При выполнении всех описанных мероприятий в СБ поступает значительные объемы различной информации, которые важно проанализировать, выявить определенные тенденции и угрозы безопасности компании, принять своевременные и адекватные меры реагирования на них.
Начинать аналитическую работу при обеспечении кадровой безопасности компании необходимо для начала с создания двух собственных баз данных:
· Сведения о кандидатах на работу, куда необходимо заносить всю краткую информацию, полученную в процессе проверочных мероприятий. Имея данные сведения, мы, во-первых, накапливаем данные о своей работе по проверке кандидатов, что позволяет провести анализ эффективности мероприятий по подбору персонала, подготовить ежемесячный отчет о проделанной в данном направлении работе, а во-вторых, обеспечиваем хранение информации о проверочных мероприятиях, фактически создавая собственную информационную базу о лицах нежелательных для приема на работу. Кроме того, данная информация обеспечивает преемственность при смене сотрудников СБ.
· Сведения о всех работающих в компании сотрудниках, где должна имеется краткая информация с установочными данными (эти данные должны периодически обновляться, например сведения о семейном положении, о детях и т.д.), сведения о возникающих в процессе работы данного сотрудника риск-инцидентах (нарушение ПВТР, требований пропускного и внутриобъектового режима, невыполнение должностных обязанностей, нарушение правил информационной безопасности, получение различной негативной информации о сотруднике). Наличие данной информации позволяет выявить лиц, допускающих регулярные нарушения правил компании, выявить на ранних стадиях предпосылки к возможному нанесению ущерба компании со стороны персонала.
Можно привести простейший пример использования методов профессиональной аналитики.
Возьмем производственную компанию, численность персонала 1000 человек. Ежедневно через КПП проходят сотни сотрудников. Как проанализировать кто приходит значительно раньше или опаздывает, кто задерживается на работе, а кто уходит минута в минуту.
Можно взять выгрузку, например за неделю и начать анализировать вручную. Это займет огромное количество времени и получим не очень корректный результат из-за человеческого фактора – что-то просмотрели, упустили и т.д.
Но можно легко осуществить анализ автоматически, задав определенные параметры, подтягивая данные в таблицу из системы СКУД с помощью функции POWER Query в Excel. На выходе получаем автоматически отфильтрованные данные в любом разрезе.
В крупной компании применив такой анализ, был выявлен факт постоянной задержки после работы сотрудника, отвечающего за технические разработки. Казалось можно только порадоваться трудоспособности и ответственности работника, но все оказалось не так просто.
Данный сотрудник для выполнения своих обязанностей использовал очень дорогостоящую программу позволяющую осуществлять компьютерное моделирование при разработке проектов. Он решил осуществлять платные разработки проектов для сторонних компаний используя данный продукт.
Для использование всех возможностей аналитической работы необходимо пройти специализированное обучение, в ходе которого будут изучены инструменты, формы и методы ведения аналитической работы. Но даже и без обучения можно и нужно самостоятельно вести анализ имеющейся информации, что позволит своевременно реагировать на угрозы безопасности компании.