Как обеспечить эффективную систему реагирования на кризисные ситуации и какова роль СБ в этом процессе 

© «Директор по безопасности», Июль 2023: https://sec-company.ru/magazine/archive/dpb2023-07/

Антихрупкость – это не просто средство от Черного лебедя; понять, что это такое, – значит перестать испытывать сильный интеллектуальный страх перед Черными лебедями и принять их как нечто необходимое для истории, технологии, науки, для всего на свете. 

«Антихрупкость. Как извлечь выгоду из хаоса» Нассим Николас Талеб

Вступление. Эффективность и непрерывность

Один из ключевых принципов корпоративной безопасности, как это правильно обозначается моими идущими в ногу со временем коллегами – диалог с бизнесом, работа в команде в интересах компании и с ориентацией на бизнес-результат. 

По сути кадровая безопасность, пресечение мошеннических действий, минимизация потерь, пропускной режим, иные направления деятельности функции «корпоративная безопасность»  – это элементы обеспечения непрерывности и эффективности бизнеса. 

Понятие эффективность бизнеса сводится к финансовым показателям: рентабельности, EBITDA, денежному потоку. В этом отношении задача подразделения корпоративной безопасности – встроиться в общую стратегию компании и в партнерстве с другими подразделениями бороться за достижение поставленных общих целей. 

Понятие непрерывность бизнеса предполагает устойчивость бизнеса в сложных меняющихся условиях, когда на кону не просто прибыль, но и порой само существование бизнеса, безопасность всех сотрудников , репутация.

Эффективность бизнеса в том числе вытекает из его непрерывности: если бизнесу удается устоять в сложных условиях, в которых другие сдаются, его прибыль и вместе с ней стоимость компании идут вверх.

Над повышением эффективности бизнесу и обеспечивающему его работу подразделению корпоративной безопасности комфортно работать в период внешнего затишья, когда социально-экономический фон относительно стабилен.  В это время можно настраивать рутинные процессы охраны, развивать проекты по цифровой трансформации, проводить расследования отдельных производственных отклонений. Другое дело – работа в кризисное время, когда от службы безопасности требуется не просто встроиться в антикризисную команду, но и порой взять на себя роль антикризисного менеджера.

Антикризисное управление

В этой статье хотелось бы остановиться на тематике непрерывности бизнеса и управления кризисными ситуациями.

Кризисные ситуации могут быть самого разного рода. Каждый кризис несет свои риски для бизнеса и требует специфических мер реагирования.

Мы спросили ChatGPT о видах кризисных ситуаций и получили следующую классификацию :

1. Финансовые кризисы:

·       Банковские кризисы: связанные с проблемами банковской системы, такими как банкротство банков, проблемы с ликвидностью и т. д.

·       Кризисы валют: связанные с проблемами валютного рынка, такими как девальвация национальной валюты, инфляция и т. д.

·       Долговые кризисы: связанные с проблемами государственного долга, такими как невозможность выплаты долгов и т. д.

2. Политические кризисы:

·       Кризисы правительства: связанные с проблемами правительства, такими как отставки министров, парламентские кризисы и т. д.

·       Кризисы лидерства: связанные с проблемами лидерства, такими как отставки президентов, революции и т. д.

·       Кризисы международных отношений: связанные с проблемами международных отношений, такими как конфликты между государствами, санкции и т. д.

3. Социальные кризисы:

·       Кризисы миграции: связанные с проблемами миграции, такими как беженцы, нелегальная миграция и т. д.

·       Кризисы здравоохранения: связанные с проблемами здравоохранения, такими как эпидемии, недостаток медицинских ресурсов и т. д.

·       Кризисы общественного порядка: связанные с проблемами общественного порядка, такими как протесты, беспорядки и т. д.

4. Экологические кризисы:

·       Климатические кризисы: связанные с проблемами изменения климата, такими как глобальное потепление, погодные катастрофы и т. д.

·       Кризисы природных ресурсов: связанные с проблемами использования природных ресурсов, такими как исчерпание запасов воды, лесов и т. д.

·       Кризисы загрязнения окружающей среды: связанные с проблемами загрязнения окружающей среды, такими как загрязнение воздуха, воды и т. д.

5. Кризисы безопасности:

·       Террористические кризисы: связанные с проблемами терроризма, такими как теракты, захват заложников и т. д.

·       Киберкризисы: связанные с проблемами кибербезопасности, такими как кибератаки, утечки данных и т. д.

·       Кризисы вооруженных конфликтов: связанные с проблемами вооруженных конфликтов, такими как войны, боевые действия и т. д.

Следует отметить, что каждый кризис может иметь свои особенности и не всегда подходит под определенную классификацию.

В рамках корпоративной практики под кризисной ситуацией следует понимать неожиданное и масштабное нарушение нормального функционирования компании , которое требует срочных и затратных мер для ее преодоления и восстановления бизнес-процессов.

Антикризисное управление для российского и международного бизнеса, связанного с Россией, приобрело особую актуальность в последние три с половиной года: сначала пандемия, затем социально-экономические изменения в связи со специальной военной операцией. 

Считаю, что каждый руководитель подразделения корпоративной безопасности должен обладать хотя бы базовыми навыками реагирования на кризисные ситуации, а лучше - иметь под рукой адекватный план действий, чек-лист, от которого можно было бы оттолкнуться в час икс. Это позволит быть морально готовым к острому негативному развитию событий и не формировать антикризисные меры с нуля. Чтобы термины crisis management и business continuity не звучали иноязычными слоганами, а стали рабочими инструментами, попробуем в них разобраться.

Не претендуя на научную точность, а лишь, основываясь на своем опыте работы в компаниях «Дженерал электрик», «Русагро», предлагаю модель того, как может строиться система антикризисного управления в сфере безопасности и не только, с какими рисками приходится сталкиваться подразделению корпоративной безопасности в период кризиса.  

Виды планов реагирования

Любой план реагирования начинается с оценки рисков. Картина того, на что нужно реагировать, формируется через составление карты рисков с обозначением вероятности и степени влияния каждого риска на бизнес, накопление статистики об инцидентах (т.е. сработавших рисках).

В моей международной практике выделялось три уровня планов реагирования:

Это упрощенная схема того, как базово строятся планы реагирования на кризисные ситуации в международных компаниях. Логичность данной схемы не означает, что нужно слепо копировать ее элементы.

Можно менять структуру плана, подстраивая систему под себя, под специфику бизнеса. Например, план может включать в себя элементы всех уровней с подчинением их одному сценарию (массовые беспорядки, начало военных действий, возникновение опасного заболевания и т.д.).  Либо план может описывать этапы развития кризисной ситуации (зеленая зона – желтая зона – красная зона), предусматривая под каждый этап свой набор мер. Главное – следовать принципам построения плана.

Основные элементы антикризисного плана

Каждый успешный план кризисного реагирования, на мой взгляд, имеет следующие обязательные элементы: 

1.     Цель – к чему мы стремимся, чего добиваемся через этот план.

2.     Краткая вводная информация: 

a.     краткое описание текущей ситуации, рисков и их последствий

b.     условия работы

c.      что понимается под кризисной ситуацией в контексте плана

d.     промежуток времени, который охватывается планом

e.     география плана

f.      кто принимает решение об активации плана и окончании его действия.

3.     Состав антикризисной команды с указанием контактных данных.

4.     Конкретные процедуры реагирования с указанием ответственных лиц и сроков.

В плане должна быть конкретика и системность: каждый участник команды (субъект планирования) должен знать, что он делает и для чего.  Например, в плане описано, что делает бизнес на каждом этапе в зависимости от сценария кризиса:

·       Произвести вывоз сотрудников с объектов на корпоративном транспорте, закрепленным за каждым объектом, по стандартным маршрутам, если позволяет текущая ситуация.  Если ситуация не позволяет, транспорт выезжает на объект ХХХ. Ответственный: руководитель отдела транспорта … Срок: …

·       Организовать вывоз кадровой документации. Ответственный: руководитель отдела управления персоналом … Срок: …   

·       Произвести демонтаж серверного оборудования. Ответственный: IT-специалист… Срок: …

Для обычных сотрудников (объектов планирования) план должен быть простым и доступным, составленным по принципу «одной странички». Как правило, до них доводится усеченная часть плана. Например: 

·       в случае опасности по согласованию с руководителем перейти на удаленный режим работы / перейти в альтернативный офис ХХХ.

Работникам не нужно знать всех нюансов и деталей. Все, что требуется, это понимать какое действие и при каких обстоятельствах совершить.

С планом должны быть ознакомлены все участники антикризисной команды. Он должен быть в обязательном порядке согласован с генеральным директором, желательно – утверждён его приказом. 

Важной частью разработки плана является его тестирование. 

Организация работы в период кризисной ситуации

В период наступления кризисной ситуации команда, дружно «вскрыв конверт», не должна бросаться реализовывать заранее подготовленный план. Необходимо оценить реализуемость каждого предложения в сложившихся условиях. Для этого команда должна собраться, обсудить содержание и последовательность действий, утвердить  сроки. 

Жизнь богаче любого плана – документ нужно воспринимать как основу для действий и  быть готовым в режиме реального времени гибко подходить к его реализации, креативить, искать нестандартные решения.

Все принятые решения необходимо фиксировать и сводить в один источник (мастер-план) с ответственными и сроками. Команда должна собираться регулярно и работать циклически по принципу PDCA (в скобках интерпретация каждой стадии в контексте антикризисного управления): plan (запланировали), do(выполнили), check (проверили результат), act (наметили дальнейшие действия). 

Отдельное внимание нужно уделить коммуникациям, как внутри бизнеса, так и за его пределами. 

Согласованность действий всех участников команды критична. Все участники должны быть в одном информационном поле. Лучше сразу собрать всех в одну группу в мессенджере, выложить в общий доступ обновляемый мастер-план.

Для постоянного мониторинга обстановки желательно сформировать Ситуационный центр, который будет объединять в себе представителей разных функций (производство, транспорт, логистика, безопасность и другие) и отрабатывать все поступающие вводные в перерывах между заседаниями антикризисной команды.

Задачи подразделения корпоративной безопасности в период реализации антикризисных мероприятий

Возвращаясь к началу статьи, напомню о непрерывности и эффективности. Обеспечивая непрерывность, работая в команде, подразделение корпоративной безопасности должно блюсти и эффективность. Коротко остановлюсь на рисках, которые несет кризисное время, и мероприятиях, которые необходимо проводить службе безопасности по их минимизации. 

Данные примеры сформулированы с учетом опыта работы в период пандемии, СВО, реагирования на отдельные внештатные ситуации (такие как, например, вспышка опасного заболевания животных на объекте компании). Во многом это риски обычного, «мирного» времени, которые усилились в контексте кризисной ситуации. Это частные наблюдения, которые мы сделали вместе с командой в период упомянутых событий. Считаю, что такой опыт нужно сохранять и использовать.

1.     Нарушения закупочных процедур

В период действия внештатной ситуации (когда сужается или сводится к нулю предложения определенных товаров, как во время пандемии, или когда падает курс национальной валюты под санкционным давлением) используются упрощенные, ускоренные закупочные процедуры, короткие маршруты, что несет в себе риск ошибочных и неэффективных закупок. 

Со стороны подразделения корпоративной безопасности даже в период цейтнота необходима вдумчивая проверка бизнес-необходимости и тендерной чистоты закупки.

2.     Неэффективные продажи

В сфере продаж, как показывает ситуация в России последних 1,5 лет, кризис может проявляться закрытием рынков сбыта, ограничениями в логистике, протекционистскими мерами. Для СБ это не исключает следующие специфические риски:

·       неэффективные каналы продаж (ведутся продажи внутри страны, в то время как требуются валютные поступления и переориентация продаж на внешние рынки);

·       усложненная логистика, приводящая к потерям готовой продукции.

Задача СБ – следовать трансформации бизнес-приоритетов и помогать бизнесу там, где он в этом нуждается в рамках своей компетенции.

3.     Риски хищения, повреждения имущества вследствие халатности

В период кризиса падение уровня доходов вместе с ослаблением контроля создает предпосылки для хищений, нарушения режима. Задача СБ – обеспечить усиление режима, работу контрольных точек.

4.     Риски в сфере информационной безопасности

В период кризиса вследствие падения уровня доходов повышаются риски мошенничества, в том числе с использованием компьютерной информации. Растет число хакерских атак, в первую очередь, на критическую инфраструктуру.

Возможные риски в этом направлении:

·       Вывод из строя инфраструктуры, производственных мощностей за счет атак или удаленного доступа;

·       Мошеннические действия с помощью социальной инженерии;

·       Компрометация персональных данных.

Задача СБ – быть в контакте с командой по информационной безопасности, нацеливать их на новую реальность и незамедлительно подключать при возникновении инцидентов.

5.     Терроризм и диверсионная деятельность

В  момент кризиса (особенно в период обострения социально-политической обстановки) основными рисками в области физической безопасности по-прежнему остаются

·       ущерб жизни и здоровью работников;

·       утрата имущества.

Для их минимизации СБ участвует в следующих мероприятиях: закрытие и консервация объектов, релокация персонала, обеспечение дополнительной инфраструктуры/защитных сооружений.

Отдельно необходимо выделить риск выбытия, утраты персонала вследствие заболевания (как в случае с пандемией) или мобилизации (как в случае с СВО). Задача СБ– обеспечивать взаимодействие с внешними структурами, идентификацию и защиту критичного персонала.

6.     Риски, связанные с действиями персонала

После перехода персонала на удаленный режим работы или релокации повышаются риски, связанные со следующими аспектами:

·       сохранность корпоративного имущества, вверенного работнику;

·       обеспечение защиты коммерческой тайны;

·       эффективность работника.

Задача функции корпоративной безопасности в этом отношении не навредить:  с одной стороны, дать работникам возможность спокойно работать удаленно, с другой стороны – аккуратно, во взаимодействии с HR и IT, вести мониторинг.

Еще один специфический риск – социальная направленность политики государства, которая для компаний влечет сложности с увольнением проблемных сотрудников (как показывает практика, сейчас суды восстанавливают даже работников, уволенных по соглашению сторон). Наша задача в этом отношении – помогать HR, искать компромиссы.

7.     Регуляторные риски и риски повышенного внимания со стороны правоохранительных органов

В период кризисных проявлений может усилиться государственный контроль за деятельностью бизнеса. 

Возможные риски в этом отношении:

·       остановка бизнеса на основании предписания;

·       высокие штрафы как на юридическое лицо, так и на должностных лиц.

Задача подразделения корпоративной безопасности – поддерживать конструктивный контакт внешними структурами (в первую очередь, с правоохранительными органами), демонстрировать открытость и готовность к диалогу, соответствующим образом инструктировать весь персонал, который задействован в данных контактах.

Заключение

Каждая компания создает свой индивидуальный антикризисный план. Он может называться по-разному, иметь разную структуру. Орган, управляющий процессом реагирования, может также называться по-разному: этом может быть оперативный штаб, антикризисный центр.

Главное, иметь продуманный и объединяющий все подразделения механизм. Служба безопасности должна быть неотъемлемой частью всего процесса антикризисного управления, обеспечивая непрерывность и эффективность бизнеса даже в самых сложных условиях. 

А еще нужно помнить, что за каждым кризисом случается подъем, и воспринимать любого «черного лебедя» как нечто необходимое для тонуса и будущего роста.

© «Директор по безопасности», Июль 2023: https://sec-company.ru/magazine/archive/dpb2023-07/

Оперативно получайте самые важные и интересные новости из мира корпоративной безопасности, анонсы ключевых статей и мероприятий, подписавшись на наш канал в Telegram.

Адрес канала «Директор по безопасности» в Telegram: https://t.me/secdirector

Издательский Дом "Советник" – медиагруппа, специализирующаяся на практической информации в области безопасности бизнеса.

В активе ИД "Советник" журналы "Директор по безопасности", "Безопасность компании", специализированные пособия и бюллетени, отраслевые мероприятия.

Рекомендуем оформить подписку на наши издания:

В редакции на любой период с предоставлением полного пакета документов для бухгалтерии. 

По тел.: +7(977) 953-20-53, +7(499) 404-21-71 или связаться с нами по

e-mail: podpiska2@s-director.ru или info@s-director.ru

Оформите подписку на 2023 год на наши издания "Директор по безопасности" и "Безопасность компании" по действующим расценкам. 

К сожалению из-за неясной ситуации на рынке полиграфических услуг, цена может быть увеличена, но при оформлении подписки сейчас, это не повлияет на стоимость оказания услуг в будущем.

Подписка на доступ к электронным журналам станет оптимальным вариантом подписки на наши издания!

Ознакомиться с условиями ПОДПИСКИ

❗❗ Акция ❗❗

Если оформите годовую подписку "Доступ к электронным журналам", то уже сейчас сможете читать вышедшие номера за все года.