финансовые;
кадровые;
технико-технологические;
периметр и охрана;
правовые.
Уровни рисков:
абсолютный;
стабильный;
нестабильный;
критический;
кризисный.
Не обязательно делать таблицу. Можно сделать диаграмму или вообще борд с наложением на карту предприятий. Для этого, правда, нужно совладать с программами для визуализации, но выглядеть будет наглядно.
В общем, любым удобным способом определяем и визуализируем риски, и шагаем дальше.
Для качественных и подробных заметок
Для качественных и подробных заметок
Глава 2.
Основы построения безопасности. Конфиденциальность
В 2022 году к одному из авторов обратилась собственница консалтингового агентства из Объединенных Арабских Эмиратов (ОАЭ). Задача предстояла следующая построить систему конфиденциальности в компании с нуля.
При первоначальном общении с заказчиком ничего сложного в вопросе создания такой системы автор не увидел. Банальный кейс для однополярной организации, хоть и с большим финансовым оборотом. По сути, в фирме всего несколько десятков сотрудников и один офис в Дубае. Не металлургический завод, и даже не сеть торговых точек регионального уровня. Просто консалтинговое агентство.
Сфера деятельности заказчицы помощь в организации бизнеса на территории Эмиратов. Образно говоря, есть в одной из стран СНГ предприниматель, который хочет открыть филиал или вообще переехать в ОАЭ. Предприниматель этот, естественно, не имеет времени разбираться в тонкостях законодательства страны и не желает заниматься бумажной волокитой.
Консалтинговое агентство помогает ему собрать пакет документов для регистрации бизнеса на территории Эмиратов, открывает банковские счета, способствует в получении вида на жительство. В зависимости от заказа может подобрать недвижимость для аренды, сделать обзор рынка и выявить конкурентов. Клиенты агентства собственники крупного и среднего бизнеса. Но в основном крупного. С оборотами от миллиарда рублей.
Естественно, коммерсанты и топ-менеджеры компаний такого уровня не любят публичности и распространения подробностей своей деятельности. Поэтому конфиденциальность в работе агентства необходима прежде всего.
Собственницей агентства в режиме короткой конференции в «зуме» была поставлена задача создать такую систему конфиденциальности, которая полностью исключит утечку информации из компании. Рабочая встреча имела сжатый характер, женщина коротко и пылко (пока пила чашечку кофе перед рейсом в международном аэропорту Рима) обозначила лишь общее направление. Первоначально задача показалась совсем не сложной, планировалось создать «Положение о конфиденциальной информации», штрафную сетку и ряд должностных инструкций. Автор даже посоветовал клиентке обратиться к среднестатистическому кадровику. Но уже на следующей конференции оказалось, что все далеко не так банально.
***
Короткая ремарка от авторов. Она же одна из аксиом безопасности.
Конфиденциальность это один из элементов системы безопасности. На крупном предприятии конфиденциальность затрагивает все сферы деятельности. И кадровую политику, и финансовые операции, и механики производства, и сферу закупок, и IT. На законодательном уровне закреплен запрет на разглашение личных данных сотрудников, в уголовном праве существует понятие промышленного шпионажа. Любые крупные сделки обеспечиваются подписанием NDA (соглашение о неразглашении сути сделки между организациями).
В примере про консалтинговое агентство из ОАЭ важно то, что заказ был не на построение системы безопасности. Собственница хотела только полностью закрыть вопрос по конфиденциальности. Оно и понятно. Сокращать расходы в консалтинговом агентстве практически негде. Хищения отсутствуют как класс. Тендеров, закупок не проводится. Периметра, камер и прочих элементов физической охраны тоже нет. Из материальных ценностей только обстановка офиса и минимум наличности в сейфе. Ценностью являлась исключительно информация.
Сложно спорить (да и не нужно) о том, что информация сегодня одна из главных золотоносных жил бизнеса. Кто владеет информацией, тот владеет сделками, контрактами, громким брендом. И в итоге своим сегментом рынка.
Когда задача по созданию системы конфиденциальности в ОАЭ развернулась во всей своей красе, автор тяжко вздохнул. Предстояла долгая и плодотворная работа.
Вместе с хозяйкой агентства определили круг рисков. И в дальнейшем отталкивались от каждого риска индивидуально (надеемся, вы внимательно читали первую главу).
Как думаете, какие риски при оказании услуг консалтинга в Эмиратах для состоятельных бизнесменов?
Нет, это не шпионаж собственных сотрудников в пользу конкурентов. И не попытки сотрудниц завести роман с клиентами. Это безалаберность, длинные языки, глупость работников и расслабленность в коллективе.
Коллектив, в основном состоящий из молодых клерков, айтишников, незамужних женщин и бывших студентов, просто не мог сохранять в тайне подробности бизнеса своих клиентов. Почему и как собственница собрала именно такую команду не наше дело. Думаем, главным преимуществом при рассмотрении кандидата было знание 23 языков на разговорном уровне. Но это не важно. Важно было создать систему конфиденциальности, исходя из имеющегося положения. А не воспитывать заказчицу и не указывать ей, кого брать, а кого не брать на работу. В коммерческой сфере лучше вообще никого не воспитывать. Это вам не правоохранительные органы.
Забегая вперед, скажем, что система для компании из ОАЭ удалась и работает и поныне. Далее речь пойдет именно про эту систему. Но авторы рекомендуют применять такую формацию для большинства организаций. Поэтому при построении элемента структуры безопасности и конфиденциальности вы можете взять ее.
Расширенная универсальная «Система конфиденциальности».
Данный комплекс документов включает в себя два типа документов. Первый тип официальные положения и регламенты.
Сухие, юридически выверенные:
1. Положение о коммерческой информации (тайне).
2. Перечень сведений, составляющих коммерческую тайну.
3. Штрафная сетка.
4. NDA.
Первый тип документов, как видите, представляет собой стандартный набор, который должен быть в любой организации. Фундамент сохранения конфиденциальной информации. Данные документы подписываются каждым сотрудником вне зависимости от занимаемой должности.
О том, где их взять, мы скажем после краткого описания.
Положение о коммерческой тайне предполагает информацию о том, в соответствии с какими нормативно-правовыми актами разработано понятие конфиденциальности, понятие коммерческой тайны, ответственность за разглашение, порядок предоставления информации в государственные органы и так далее.
Это максимально «высушенный» документ, который хоть и хочет быть понятным для всех, но оставляет желать лучшего в ясности. Положение будет стандартным для большинства организаций.
Перечень сведений, составляющих коммерческую тайну, содержит широкий список сведений для конкретной организации.
Сокращенно может выглядеть так:
1. Сведения по вопросам управления, кадровым, штатным, правовым вопросам и вопросам региональной политики, сведения о клиентах организации в любой форме, сведения о партнерах организации в любой форме, сведения о контрагентах организации в любой форме.
2. Сведения об экономической, финансовой и бухгалтерской деятельности.
3. Сведения о коммерческой деятельности на внутреннем рынке.
4. Сведения по вопросам внешнеэкономической деятельности.
5. Сведения об IT-архитектуре организации.
Расширенная версия предполагает углубленное «расписывание» и обоснование каждого пункта.
В принципе, этот список может быть внесен в «Положение о коммерческой тайне», но мы рекомендуем утвердить отдельный документ. Не ради бюрократии, а для практического применения и донесения до сотрудников. Поверьте, его все равно придется в виде выписки «извлекать» из Положения. Ведь сотрудникам так нагляднее.
Штрафная сетка
Напомним, мы сейчас ведем разговор о конфиденциальности. Решать, какие наказания применять к сотрудникам за разглашение конфиденциальной информации, вам предстоит совместно с HR или с кадровой службой. В этом случае мы предлагаем не плодить бюрократию, а объединить все виды наказаний в одной таблице. И за разглашение конфиденциальных сведений, и за опоздание на работу, и за прочие проступки.
Штрафная сетка имеет простой табличный вариант, утвержденный руководителем предприятия.
Вообще разговор о штрафах это отдельный геморрой. Фактически законодательство и так предполагает ответственность сотрудников за разглашение коммерческой тайны и сопутствующие правонарушения (ст. 183 Уголовного Кодекса РФ). Трудовой Кодекс регламентирует и опоздания, и прогулы, и прочие нарушения трудовой дисциплины. Наказания за кражи, коммерческие подкупы и мошенничества, естественно, предусмотрены УК РФ.
Штрафная сетка реально выполняет две функции профилактическую и наказания за мелкие нарушения. С профилактикой все понятно (надеемся). С наказаниями за мелкие нарушения тоже более-менее понятно нарушение формы одежды на производстве, грубость по отношению к клиенту в ритейле и прочие неприятные истории.
В любом случае приходится возвращаться к взаимодействию с кадровой службой. Штрафы в коммерческих организациях не назначаются просто так. Нельзя лишить человека премии на пустом месте. Любой штраф это первоначально служебная проверка, объяснение, приказ. И только потом лишение части денег. И даже при этом все не так легко. Надеемся, ни для кого не новость, но штраф может взиматься только с премии. Либо от ежемесячной ее части, либо от годовой. Только KPI (ключевой показатель эффективности, или попросту говоря премия) является базой для уменьшения, а не окладная часть зарплаты.
Повторим третий раз штрафные сетки создаются и вводятся в действие совместно с кадрами.
Впрочем, ваша задача сделать так, чтобы конфиденциальные сведения не ушли на сторону. И не были разглашены по случайности. А штрафы крайняя и непопулярная мера.
NDA
Еще одна (наряду с KPI) относительно новая аббревиатура. Non-disclosure agreement соглашение о неразглашении. Заключается между двумя организациями, когда сведения о коммерческой (или любой другой) деятельности становятся известны контрагенту. Например, вы вызываете специалиста для настройки «1С: Erp». В процессе работы специалист видит ваши финансовые показатели или поданную заявку на патент. Чтобы у временно нанятого сотрудника не возник соблазн проинформировать ваших конкурентов необходимо заключить NDA.
Соглашение о неразглашении в 95% случаев типовое. Составляет его юрист, подписывает руководитель организации и контрагент.
Думаем, некоторые читатели уже задались вопросом где взять образцы документов. Отвечаем в конце книги вы найдете контакты авторов. Обратитесь к нам, и мы скинем вам на почту типовые версии Положения, Перечня, Штрафной сетки и NDA. Просто предложите нам свою дружбу. Шутим, отправим полностью безвозмездно. Дабы вы не искали ерунду в интернете.
Переходим ко второму типу документов, которые необходимы для корректной работы системы конфиденциальности. Их мы вам не предоставим. Для каждой организации такие документы индивидуальны, они верстаются с нуля. Можете обратиться к профессиональному специалисту, который вам их создаст. Либо попробуйте сделать сами. Да, и мы скажем правду, второй пакет не обязателен, но лучше его сделать.
Политика конфиденциальности глобальный документ в виде системы, которая объясняет сотрудникам всех уровней для чего нужна конфиденциальность. В отличие от Положения, составляется понятным языком с обращением к читателю. Тезисная простота и понятность соседствует со смешными примерами. В Политике руководство, обращаясь напрямую к сотруднику, рассказывает о компании, об общих целях по достижению прибыли. Максимально заботливо и ясно.
Если вы работали в крупных компаниях, то знаете, что у любой крупной сети продуктовых или строительных супермаркетов есть мотивационная система для сотрудников. Эдакий комплекс документов, написанный простым языком, про историю компании, про устремления, про общие цели, поддержку друг друга. В этих же проспектах содержится и ненавязчивая информация о том, что в фирме не приветствуется. Политика конфиденциальности построена по такому же принципу объяснить сотруднику, что и для чего.
Например, Политика для консалтинга из ОАЭ начинается со слов:
«Когда мы разговариваем с родителями по телефону стараемся контролировать, что говорим. Не говорим о проблемах и кредитах, боимся сболтнуть лишнее. Общаясь со своими детьми выбираем слова, думаем, прежде чем сказать. Дома не оставляем острые предметы в ящике с игрушками. Мы контролируем речь и действия в личной жизни, а когда контроль ослабевает пожинаем негативные плоды. Обсуждая жизнь друзей и подруг, мы знаем, что они так же сплетничают о нас. Нам это неприятно. Это простые истины, правила чистых рук, их знают все».
В тексте даже есть пословица про слово и воробья.
Понятно, что конкретно эта политика подстроена под среднестатистического сотрудника того агентства. Ориентирована на возраст, сферу общения и образ жизни. При создании аналогичного документа всегда необходимо учитывать, кто будет читать текст среднестатистический менеджмент, вчерашние студенты или сегодняшние эмигранты. Каждому свое.