Добавить в корзинуПозвонить
Найти в Дзене
СБ Про Бизнес
1706 подписчиков

KPI службы безопасности

108
8 мин
Большинство собственников видят службу безопасности в двух состояниях. Либо всё тихо и непонятно, чем эти люди вообще занимаются, либо звонок в 03:17 с сообщением: «У нас проблема». В первом случае безопасность воспринимается как статья затрат. Во втором - как аварийная команда для тушения пожаров и внутренний «спецназ». При этом повсеместно СБ оценивают по показателям, которые слабо отражают реальное состояние бизнеса. Количество проверок, инструктажей, расследований, нарушений и служебных записок удобно для внутренней отчётности, однако для собственника этот набор часто остаётся административным шумом. Он показывает, чем занималась функция, но почти не отвечает на главный вопрос: какую пользу она приносит? Безопасность пытается доказать пользу объёмом действий, тогда как бизнесу (иногда даже неосознанно) нужна предсказуемость и обоснованный прогноз по рискам организации. За двадцать с лишним лет работы я ни разу не видел собственника, который просыпался бы ночью в холодном поту из-за
Оглавление

Не считать суету

Большинство собственников видят службу безопасности в двух состояниях. Либо всё тихо и непонятно, чем эти люди вообще занимаются, либо звонок в 03:17 с сообщением: «У нас проблема».

В первом случае безопасность воспринимается как статья затрат. Во втором - как аварийная команда для тушения пожаров и внутренний «спецназ». При этом повсеместно СБ оценивают по показателям, которые слабо отражают реальное состояние бизнеса. Количество проверок, инструктажей, расследований, нарушений и служебных записок удобно для внутренней отчётности, однако для собственника этот набор часто остаётся административным шумом. Он показывает, чем занималась функция, но почти не отвечает на главный вопрос: какую пользу она приносит?

Безопасность пытается доказать пользу объёмом действий, тогда как бизнесу (иногда даже неосознанно) нужна предсказуемость и обоснованный прогноз по рискам организации. За двадцать с лишним лет работы я ни разу не видел собственника, который просыпался бы ночью в холодном поту из-за недостаточного количества инструктажей. Проверка сама по себе не снижает риск, если после неё не меняется процесс. Инструктаж не имеет ценности, если поведение людей остаётся прежним. Расследование не является результатом, если через полгода та же схема возвращается в другом подразделении.

В такой модели СБ становится производителем бумажной правоты, а не инструментом управления риском. Современной службе безопасности важно измерять не собственную активность, а общую корпоративную энтропию. Под корпоративной энтропией в данном случае понимается постепенная потеря прозрачности процессов, ответственности и качества управленческих решений.

Если безопасность подключается только после возникновения инцидента, она уже работает не с риском, а с его последствиями. Современная функция безопасности работает не с отдельными угрозами, а с системой рисков организации. Выпадение любого из контуров, иначе говоря - функции компании, создаёт слепую зону, которая рано или поздно превращается в убыток.

Информация как основной ресурс СБ

Служба безопасности отвечает за риски, которыми почти никогда не управляет напрямую. Персонал нанимает HR, поставщиков выбирают закупки, договоры двигает бизнес, платежи идут через финансы, производственные решения принимают операционные руководители. При этом значительная часть последствий в итоге попадает в контур безопасности.

Отсюда главный практический вывод: зрелость СБ определяется не только полномочиями, но и качеством информационных потоков. Если информация о новом подрядчике приходит после выхода людей на объект, проблема уже существует. Если инцидент несколько дней живёт внутри подразделения и только потом поднимается наверх, компания теряет не время, а управляемость.

Безопасность в такой системе должна работать не как архив, куда приносят документы после события, а как радар, подключённый к ключевым решениям до их реализации.

Это требует не бесконечного расширения согласований, а воли собственника и нормальной архитектуры обмена данными. Закупки, HR, финансы, юристы, производство и коммерция должны понимать, какую информацию СБ возвращает им обратно и как она помогает принимать более чистые решения.

Если безопасность только запрашивает данные, её начинают обходить. Любая функция контроля существует ровно до того момента, пока бизнес считает её полезной. Как только взаимодействие с безопасностью начинает ассоциироваться исключительно с дополнительной работой, подразделения начинают строить процессы в обход неё. Если она возвращает бизнесу полезную картину рисков, её начинают подключать раньше.

Именно здесь появляется смысл цифровой трансформации в приложении к функции СБ. Не витрина или очередной дашборд, а автоматическое попадание критичных событий в контур наблюдения. Новый поставщик, нестандартный платёж, временный доступ, конфликт интересов, повторное исключение, просроченное корректирующее действие, рост жалоб или повторный инцидент должны становиться сигналом без ручного героизма и пяти писем с напоминаниями. Если данные приходится добывать как руду в забое, система уже плохо спроектирована.

Метрики, которые говорят о состоянии системы

Привычные KPI безопасности, в целом, полезны как операционная статистика, но плохо подходят для оценки функции СБ и самой компании. Для собственника важнее показатели, которые показывают деградацию процессов до ущерба. Их не должно быть много. Хорошая панель безопасности должна показывать не весь шум организации, а несколько контуров, где потеря управления становится заметной раньше остальных. Например:

  • Скорость обнаружения риска. Это время между событием и моментом, когда о нём узнаёт безопасность или руководство, способное принять решение. Если сигнал идёт днями или неделями, компания работает не с текущим риском, а с историей риска.
  • Концентрация зависимостей. Показывает количество критических процессов, завязанных на одного человека, одного поставщика, один маршрут, одну систему или одного неформального посредника. Любая такая зависимость удобна до первой поломки. Потом выясняется, что экономия на резервировании была отложенным счётом.
  • Прозрачность решений. Показывает, можно ли через несколько месяцев восстановить логику значимого управленческого решения: кто инициировал, какие риски обсуждались, какие альтернативы рассматривались, кто принял остаточный риск. Если решение оставило после себя десятки писем и ни одного понятного владельца риска, компания управляет не процессом, а воспоминаниями о нем.
  • Доля неформальных процессов. Отражает долю реально работающих схем, которых нет в регламентах. Срочные закупки, особые согласования, временные доступы, исключения для отдельных подрядчиков, параллельные каналы одобрения и неформальные посредники есть почти в любой живой организации. Опасность начинается тогда, когда теневая колея становится шире официальной дороги.
  • Индекс двойного контроля. Показывает долю критичных действий, принятых без независимой проверки. Контрагент без проверки, кандидат без проверки, подрядчик без оценки рисков, платёж без второго уровня контроля, доступ без пересмотра основания. На короткой дистанции это ускоряет бизнес, на длинной такая скорость превращается в источник потерь.
  • Возвратность инцидентов. Фиксирует повторяемость одних и тех же инцидентов после расследований и корректирующих мероприятий. Это один из самых честных индикаторов зрелости. Если после разбора, совещаний и оргвыводов та же история возвращается через неделю, месяц, полгода - компания не устранила причину, лишь оформила реакцию.
  • Доля исключений. Сколько временных отклонений от процедуры продолжает существовать после установленного срока? Временное в компании часто живёт дольше постоянного. Именно такие исключения становятся удобной средой для злоупотреблений, потому что их уже перестают воспринимать как отклонение.

Контроль этих метрик также может быть автоматизирован. Их не нужно превращать в отдельную бюрократическую религию. В стандартизированной модели показатели могут собираться из ERP, HR-систем, закупочных процедур, систем контроля доступа, заявок, расследований, hot line, документооборота и проектных решений. В целом, модель оценки СБ должна быть привязана к специфике бизнеса и одобрена топ-менеджментом и самим руководством службы безопасности. Что важно в данной модели - решение о принятии, устранении или митигации рисков остается за собственником (советом директоров) - но основано на аналитике СБ и наглядно показывает необходимость этой функции.

Почему старые KPI вредят

Показатели активности создают опасную иллюзию. Чем больше проверок, тем вроде бы серьёзнее работа. Чем больше выявленных нарушений и служебных записок, тем вроде бы глубже контроль. На практике такая логика часто стимулирует производство событий, которые легко посчитать, вместо сокращения событий, которые дорого стоят.

Если служба безопасности каждый месяц показывает рост выявленных нарушений, это может означать хорошую работу. А может означать, что процесс системно не меняется и продолжает генерировать один и тот же мусор. Если количество расследований стабильно высокое, это может говорить о внимательности функции. А может говорить о том, что компания живёт в режиме постоянного ремонта вместо нормального проектирования процессов. Другими словами, “палочные” показатели фиксируют лишь объем активности.

Но для собственника важен не объём действий, а изменение состояния системы. Все эти вопросы в конечном счёте выражаются в деньгах. В потерях от простоя, переплатах поставщикам, возврате активов, взысканном ущербе, стоимости расследований, юридических расходах, страховых условиях, репутационных потерях, текучести критичного персонала и дисконте к стоимости актива. Безопасность не обязана превращать каждый риск в точную бухгалтерскую строку, но она должна показывать связь между деградацией управляемости и P&L.

В противном случае разговор с собственником снова скатывается к «мы провели 58 проверок», в то время как актуальная метрика покажет: возможный канал потерь на 17 млн рублей, повторяющийся обход закупочной процедуры, срок обнаружения аналогичного события сокращён с трёх недель до двух дней. Разница не в красоте формулировки, а в том, что первый вариант описывает занятость СБ, а второй - предоставляет данные для принятия управленческого решения.

Рабочая панель для собственника

Практически такую, или приближенную к такой, с учетом специфики бизнеса, систему, можно собрать в короткую периодическую панель для руководства организации. Она не должна превращаться в энциклопедию рисков, достаточно вышеуказанных контуров наблюдения.

Рядом с ними нужны финансовые и управленческие показатели: подтверждённый ущерб, предотвращённые или локализованные потери, возврат активов, взысканные средства, стоимость простоя, просроченные корректирующие действия, владелец риска, срок следующего контрольного замера. Формат панели - короткий, до двух страниц.

Основной формой отчетности СБ должно стать не перечисление сделанного, а демонстрация того, где бизнес теряет форму. Если же служба продолжает считать только проверки, то защищает она лишь собственную отчётность.

Проверьте себя:

  • Есть ли процессы в компании, на которые вы не имеете прямого влияния.
  • Где есть «временные» исключения.
  • Какие решения были приняты без двойного контроля.
  • Где компания зависит от одного человека, поставщика, маршрута или посредника.
  • Какие проблемы вернулись повторно после корректирующих действий.
  • Какие сигналы пришли поздно.
  • Какие риски уже выражаются в деньгах.

P.S. От лица площадки СБПроБизнес (https://t.me/sbprobiz) , выражаем огромную благодарность автору - Власову Илье (https://t.me/vlas1981), специалисту по корпоративной безопасности и обеспечению устойчивости в сложных операционных средах, члену ICSA, за его мысли и изыскания🤝
Этот практический материал является эксклюзивом!

2
Безопасность и правопорядок
95,2 тыс интересуются